1 Informationsbeschaffung
<< | < | = | > | >>
1.1 Einführung
Bevor ein Angreifer seiner ersten attackierende Aktion aktiv nachgeht, sammelt er so viele Informationen wie möglich über das Zielsystem, um daraus resultierend ein Profil erstellen zu können. Dieses Vorgehen wird als Footprinting bezeichnet, da er alle auf diversen Medien hinterlassen Informationen sammelt und auswertet, so wie dies die Indianer bei ihrer Fährtensuche zu tun pflegen. Durch die Kombination von Tools und Techniken können so sehr viele nützliche Angaben zusammengetragen werden. Neben Namen von Domänen und Netzwerkblöcken sind natürlich auch die damit in Verbindung bringbaren IP-Adressen für den Eindringling von besonderer Wichtigkeit.
1.2 Suchdienste
Sehr viele Informationen über ein Unternehmen und die involvierten Personen finden sich durch die Abfrage ganz normaler Suchdiensten. Neben dem Durchsuchen von automatisierten Suchmaschinen, wie zum Beispiel Altavista oder Google, können auch von Menschen betreute Webverzeichnisse, ich denke da an Yahoo und meOme, interessante Informationen bereitstellen.

Wer noch einen Schritt weiter gehen will, der besucht Deja.com. Dort wird ein Archiv aller im Usenet geposteten Nachrichten bereitgestellt. Das Usenet basiert auf NNTP (Network News Transfer Protocol) und unterliegt dem Prinzip einer foren-ähnlichen, themenbezogene Runde (engl. Community). Viele Mitarbeiter und Netzwerk-Administratoren wenden sich bei technischen, organisatorischen oder sozialen Fragen an diese Gemeinde. Schnell wird dort freizügig über Firmeninterne Krisen, im besonderen Netzwerkprobleme, diskutiert.

Zu guter letzt ist die EDGAR-Datenbank für alle Angreifer interessant, die eine Aktiengesellschaft ins Auge gefasst haben. Dort werden unternehmensbezogene Unklarheiten bezüglich physikalischer und technischer Sicherheit besprochen, so dass man sich auch als Aussenstehender einen Überblick diesbezüglich verschaffen kann.

1.2.1 Suchmaschinen

Sicher jeder von Ihnen hat schon einmal einen Suchdienst im Internet genutzt: Eine herkommliche Suchmaschine indexiert automatisch alle relevanten Webdokumente, um sie durch eine Abfrage den Benutzern näher bringen zu können. Man muss jedoch zwischen robotisierten Engines und Webverzeichnissen, die von Menschen betreut werden, unterscheiden.

Automatisierte Suchmaschinen

Die automatisierten Suchmaschinen liefern eine Fülle von ungefilterten und oft ziemlich chaotischen Daten. Dies kann jedoch auch von Vorteil sein, da so eher an verborgene und für den Otto-Normalverbraucher uninteressant erscheinende Informationen herangekommen werden kann.
 
Name URL Primärer Nutzen
Altavista http://www.altavista.de Weltweit, hauptsächlich englischsprachige Webseiten
Fireball http://www.fireball.de Excellent für den deutschsprachigen Raum. Bietet aber auch ein Kombo-Feature mit Altavista an.
Google http://www.google.com Excellent für eine weltweite Suche. Mitunter auch ein Kombo-Feature für Usenet-Postings implementiert.
Hotbot http://www.hotbot.com Weltweit, hauptsächlich englischsprachige Webseiten.
Liste der besten automatisierten Suchmaschinen: Stand Mai 2001.

Ein Angreifer findet sich zum Beispiel nach der Eingabe und dem Durchforsten der daraus resultierenden Ausgabe schnell im Besitz der Partner wieder, die mit einem Unternehmen in Verbindung stehen. Nachforschungen in dessen Richtung können in weiteren Schritten für Social Engineering mittels Mail oder Telefon nützlich sein.

Betreute Webverzeichnisse

Durch Menschen betreute Webverzeichnisse stellen eine kompetente Sammlung der besten Seiten zu einem Thema bereit. Dort wird man also weniger die kleinen Details finden können, dafür stets eine Fülle von verwertbaren Informationen.
 
Name URL Umfang
Clickfish http://www.clickfish.de Deutschsprachig; relativ unübersichtlich
meOme http://www.meome.de Deutschsprachig; sehr übersichtlich und kompetent
Yahoo.com http://www.yahoo.com Englischsprachiger Raum; hauptsächlich Amerika
Yahoo.de http://www.yahoo.de Deutschsprachiger Raum; hauptsächlich Deutschland
Liste der besten von Menschen betreuten Webverzeichnisse: Stand Mai 2001.

1.2.2 Deja.com
Unter http://www.deja.com/usenet wird eine ganz besondere Suchmaschine bereitgestellt, die das aus abgesetzten Nachrichten (engl. Postings) des Usenets bestehende Archiv durchforstet. Viele Mitarbeiter, vor allem die der EDV-Abteilung, suchen in dieser Internet-Community Rat. Mitteilungen mit Titeln wie "Ist Service Pack 6a für Windows NT 4.0 wirklich notwendig?" oder "Habe ich einen Cracker im Netzwerk?" in der Gruppe de.comp.security.misc verrät mehr, als dem Administrator beim Absetzen seiner Nachricht oft lieb gewesen ist.

Die besagte Search-Engine bietet solch nette Features, wie zum Beispiel das Suchen nach Namen und Mail-Adressen in Nachrichten. Möchte ich mich zum Beispiel gerne über die UBS Warburg informieren, so gebe ich bei der Eingabe der Suchkriterien doch einfach mal "*@ubsw.com" im Feld für die Suche nach Name und Mail-Adresse eines Autors an. Eines der interessantesten Postings, dass sich nach dieser Abfrage offenbahrt, ist folgendes:
 
Forum: comp.protocols.kerberos
Thread: Why do v5passwd/v5passwdd use kadmind port
Message 19 of 365

Subject: Why do v5passwd/v5passwdd use kadmind port?
Date: 12/19/2000
Author: Nicolas Williams <Nicolas.Williams@ubsw.com>

The new password changing service, 'v5psaswdd', starts up and listens on the same TCP port as kadmind. The code in 5passwdd will default to port 749 and will lookup the same profile entry in the configuration, 'admin_server'. As a result, v5passwdd and kadmind have to run exclusive of the other.

The 'v5passwd' client does pretty much the same to locate the v5passwdd (looks for 'admin_server' profile configuration, defaults to 749 / searches all KDCs for one running the service).

Now, the v5passwd protocol is completely different from the kadmin protocol (the former is a home-cooked trivial protocol based on passing network-order krb5_data arrays and the latter is an ONC RPC -based protocol) so why run this new protocol on the same port as kadmin?! 

Nico

Gefundenes Posting bei Deja.com.

Wie gross sind wohl die Chancen, dass sich die Netzwerkadministratoren der UBS Warburg gerade mit einer Kerberos V5-Implementierung herummühen? Kerberos ist einer unserer potentiellen Gegner, da das von MIT (Massachusetts Institute of Technology) entwickelte Protokoll die Identität eines Benutzers bestätigt und die dann geführte Kommunikation verschlüsselt.

1.2.3 EDGAR-Datenbank
In der weltberühmten EDGAR-Datenbank der SEC (Securities and Exchange Commission) kann unter http://www.sec.gov nach Informationen bezüglich Aktiengesellschaften recherchiert werden. In diesem kompetenten Werk werden oft sicherheitsrelevante Probleme von Aktiengesellschaften besprochen, wenn eine Übernahme durch oder eine Fusion mit einem anderen Unternehmen ansteht.
1.2.4 Suchmaschinen: Gegenmassnahmen
Primär sollte im Vorfeld eine Richtlinie bestimmt werden, welche Informationen freigegeben werden müssen, wollen und dürfen. Kann sich an diese Policy gehalten werden, wird das Risiko kalkulierbar. Frei zugänglich sollten im Internet lediglich für Aussenstehende vorgesehene Informationen sein. Das Absetzen von Postings im Usenet ist sicher eine grosse Hilfe für so manchen, doch sollte man sich davor hüten, vertrauliche Informationen auszuplaudern.
1.3 Netzwerkdaten
Der erste Schritt bei der Auswertung der Netzwerkdaten des Ziels ist die Identifizierung der Domänennamen und den damit in Relation bringbaren Netzwerken. Um diese Informationen einer Analyse unterziehen zu können, muss man sich durchforstenderweise des Internets bemächtigen. Eine Fülle an Informationen kann aus der InterNIC-Datenbank, die vom American Registry for Internet Numbers (ARIN) geführt wird, extrahiert werden. Diese Datenbank ist im World Wide Web unter der Adresse http://www.arin.net zu erreichen. Es gibt verschiedene Methoden, wie die ARIN-Datenbestände eingesehen werden können. Die Ergebnisse sollten sich in keinster Weise unterscheiden, und das vozugsweise eingesetzte Vorgehen gilt in jedem Fall als Geschmackssache.
 
Mechanismus Ressourcen Plattform
Netscantools http://www.mwpsw.com Windows 9x/NT
Web-Schnittstelle http://whois.metanet.ch Jede Plattform mit einem Webbrowser
Whois-Client Whois wird mit den meisten UNIX-Versionen ausgeliefert. UNIX und seine Derivate
WS_Ping ProPack http://www.ipswitch.com Windows 9x/NT
Sam Spade http://www.blighty.com/products/spade Windows 9x/NT
Sam Spade Web-Interface http://www.samspade.org Jede Plattform mit einem Webbrowser
Xwhois UNIX mit X und GTK + GUI-Toolkit
Whois-Utilities für verschiedene Plattformen.

Als wichtige Anmerkung sei erwähnt, dass diese Datenbank keine Informationen über US-militärische und US-Regierungs-Webseites bereitstellt. Es kann durchaus sein, dass die gewünschten Informationen nicht direkt bei ARIN zu finden sind. Es gibt andere Anlaufstellen, die im Einzelfall mehr Erfolg versprechen:
 
Whois-Server Adresse
Europäische IP-Adressen http://whois.ripe.net
IP-Adressen in Asien und im pazifischen Raum http://whois.apnic.net
US-Militär http://whois.nic.mil
US-Regierung http://whois.nic.gov
Die grossen Whois-Server.

Jede Abfrage eines solchen whois-Servers liefert unterschiedliche Informationen, die im Falle einer Attacke einen Vorteil für den Angreifer bedeuten können:

Bei grösseren Unternehmen könnten wir aus einer solchen Anfrage erkennen, wieviele verschiedenen Domänen mit ihm verbunden sind. Ob eine solche Ausgabe auf wirklich existierende phsyikalische Netzwerke hinweist, oder dies nur fiktive Registrierungen für die Zukunft sind, könnten wir nur erahnen. Wird eine solche Anfrage auf ein wirklich grosses, ja sogar weltumspannendes Netzwerk losgelassen, kann man mit einer wahren Informations-Flut konfrontiert werden. Der extreme Missbrauch solcher Freizügigkeiten bei der Toplevel-Domain com wurde durch InterNIC erkannt, und so werden nur noch die ersten 50 Datensätze zu einer solchen Abfrage publiziert.

1.3.1 Organisations-Abfrage

Die folgende auf whois basierende Organisations-Abfrage mit Sam Spade zeigt alle registrierten Domains, in denen das Wort Microsoft vorkommt:

Organisations-Abfrage mit Sam Spade
Eine Organisations-Abfrage (whois)  mit Sam Spade unter Windows 98.

1.3.2 Domänen-Abfrage
Zieht man die Ergebnisse der Organisationsabfrage zu Rate, ist die Domänen-Abfrage sicher als nächsten Schritt mitunter die nützlichste. Folgend eine mit Sam Spade getätigte whois-Abfrage der Domain computec.ch:

Eine mit Sam Spade getätigte whois-Abfrage der Domain computec.ch
Domänen-Abfrage (whois) mit Sam Spade unter Windows 98.

Diese Abfrage-Art liefert folgende Informationen

An dieser Stelle wird dem Angreifer ein gewisses Mass an logischem Verständnis und der Fähigkeit des Erkennens von Zusammenhängen abverlangt: Um bestimmen zu können, ob eine Domäne zum Unternehmens-Netzwerk gehört, sollte man den Eintrag bezüglich des Registrators genauer unter die Lupe nehmen. Anhand der Informationen über ihn können wir ziemlich kompetent herausfinden, ob die observierte Domänezum von uns untersuchten Unternehmen gehört.
1.3.3 Netzwerk-Abfrage
Da wir die potentielle Netzwerkadresse über die durch die Firma genutzten DNS-Server in Erfahrung bringen konnten, dürften wir nun indirekt anhand einer Netzwerkabfrage herausfinden, ob die Domain mit einem tatsächlich existenten physikalischen Netzwerk verbunden ist. Die Einsicht dieser Informationen kann mit Sam Spade durch die ARIN-Datenbank erzwungen werden, da die InterNIC-Datenbank nur domänenbezogene Informationen bereitstellt:

Netzwerk-Abfrage mit Sam Spade
Netzwerk-Abfrage (whois) mit Sam Spade auf Windows 98.

1.3.4 POC-Abfrage
Die vorangegangenen Abfrage-Typen stiessen uns in die priveligierte Lage des Wissens, dass der Administrator der besagten Domain für die Verwaltung mehrerer Unternehmen zuständig zu sein scheint. Aus diesem Grund kann POC-Abfrage für den Angreifer bedeutungsvoll sein, denn eventuell entdeckt man so Domänen, die bis dahin nicht in Bezug gebracht werden konnten.
1.3.5 Gegenmassnahme: Sicherheit in öffentlichen Datenbanken
Alle im ersten Teil dieses Kapitels angeschnittenen Datenbanken sind für den freien öffentlichen Zugriff bestimmt. Systemverwalter, registrierte Netzwerk-Adressbereiche und Informationen zu autorisierten DNS-Servern sind Pflichtangaben, wenn es um die Registration einer neuen Domain geht. Man sollte jedoch explizit für solche Publikationen vorgesehene sicherheitsbezogene Richtlinien festlegen, welche Informationen man zwingend freigeben kann und darf.

Es kommt nicht selten vor, dass ein Systembetreuer ein Unternehmen verlässt, aber noch immer in den öffentlichen Datenbanken als Verantwortlicher vermerkt bleibt. Eine Firma sollte sich aus organisatorischen Gründen bemühen, die publizierten Informationen stets auf dem neuesten Stand zu halten.

1.4 DNS-Abfragen
1.4.1 Was ist DNS
DNS hat eigentlich zwei Bedeutungen: Zum einen ist es das System (Domain Name System), durch welches alle Hosts in Netzwerken, auch dem Internet, sowohl Domainnamenadressen (z.B.: ubs.ch) als auch IP-Adressen (z.B.: 193.134.254.228) besitzen. Die Domänenadressen werden meist von humanoiden Benutzern, vorzugsweise aus Bequemlichkeit, genutzt und vom Domain Name System automatisch in die nummerische IP-Adresse konvertiert, die dann von der Software interpretiert wird. DNS-Server speichern ihre Informationen in einer Matrix, bei der statisch jedem Host-Namen eine eindeutige IP-Adresse zugewiesen wird.

DNS ist ausserdem die Abkürzung für "Domain Name Service", welcher das Internetdienstprogramm darstellt, durch welches das Domain Name System implementiert wird.

1.4.2 Zonetransfers
Ein relevantes Angriffsziel im Zusammenhang mit dem Domain Name Service ist folgendes: Die Zonendatenbanken liefern wertvolle Informationen über den Aufbau des internen Netzes. Einer der grössten Fehler eines Netzwerkadministrators kann nun sein, dass er DNS-Zonetransfers für alle zulässt.

Bei Zonetransfers werden die Datensätze eines sekundären Master-Servers durch die Übertragung der Daten von einem primären Master-Server aktualisiert. Dieses Vorgehen verhilft dem DNS-System zur Realisierung eines redundanten Systems, um bei der Unerreichbarkeit eines DNS-Servers alle nötigen Dienste trotzdem bereitstellen zu können. Im Grunde müssten also nur sekundäre Master-Server einen Zonetransfer durchführen dürfen und können. Viele DNS-Servers sind aber zu lax konfiguriert und übertragen ohne zu zögern die begehrten Informationen an jeden Benutzer, der sie anfordert. Dies ist nur im Geringen ein Problem, wenn es sich bei den übertragenen Informationen um Systeme handelt, die Namen und offizielle IP-Adressen haben, und so eh direkt über das Internet angesprochen werden können. Ein Teil der Forschungsarbeit durch den Angreifer wird zwar vereinfacht, aber an die besagten Informationen käme er wahrscheinlich in so oder so. Schlimmer wird es auf jeden Fall, wenn indirekt bei einer solchen erfolgreichen Abfrage auch Informationen bezüglich der internen Netzstruktur preisgegeben würden: Schnell käme der Angreifer zu allen IP-Adressen und den dazugehörigen Hostnamen.

Die einfachste Methode einen Zonetransfer durchzuführen ist Windows NT mit dem Netzwerk-Utility nslookup:
 
C:\WINNT\System32\cmd.exe
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:\WINNT>nslookup
Standartserver: ns1.computec.ch
Adress: 192.168.0.5

> server pluto.ubs.com
Standartserver:  pluto.ubs.com
Adress: 193.134.254.194

> set type=any
> ls -d ubs.com. > c:\tmp\zone.txt

Ein interaktiver Zonetransfer mit "nslookup" unter Windows NT 4.0.

Als erstes wird nslookup im interaktiven Modus gestartet. nslookup teilt uns alsdann den Namen des Standart-Nameservers mit, der normalerweise der DNS-Server des eigenen Unternehmens oder ISPs sein sollte. Dieser DNS-Server ist jedoch nur in den seltensten Fällen für die Ziel-Domäne autorisiert und vermag deshalb nicht die für uns elementaren Informationen breitzustellen. Wir müssen nslookup manuell mitteilen, welchen DNS-Server wir gerne abgfragen möchten. In diesem Beispiel wollen wir den DNS-Server der UBS (pluto.ubs.com mit der IP-Adresse 193.134.254.194) verwenden. In den Besitz dessen Name bzw. IP-Adresse gelangt man Vorfeld durch eine in Kapitel 1.3 (Netzwerkdaten) vorgestellte whois-Prozedur. Der nächste Schritt ist den Datensatztyp auf "any" zu setzen. Dadurch werden bei einer Abfrage alle verfügbaren Datensätze ausgegeben. Mit der Eingabe von ls werden die Datensätze der Domain aufgelistet. Der Parameter "-d" wird zur Anzeige aller Angaben der Domäne verwendet: Dieser Zusatz kann jedoch in den meisten Fällen weggelassen werden. Ein terminierender Punkt bestimmt das Ende des vollständigen Domänennamens. Letztendlich leiten wir die Ausgabe zur späteren Analyse in die Datei "c:\tmp\zone.txt" um.

Die Einsicht der erstellten Datei lässt uns an wichtige Informationen kommen: Eine Besprechung aller Datensätze einer solchen Ausgabe würde den Umfang dieser Unterlagen sprengen, so dass ich folgend nur auf die wichtigsten eingehe. Für jeden Datensatz gibt es einen A-Datensatz, der die IP-Adresse des dazugehörigen Systemnamens enthält. Ausserdem findet sich für jeden Host einen HINFO-Datensatz, der die Plattform oder das im Einsatz befindliche Betriebssystem identifiziert (Mehr Informationen dazu in RFC 952 (DOD Internet Host Table Specification)). HINFO-Datensätze sind obligatorisch, was einem Angreifer ein Glänzen in den Augen bescheren sollte: Mit der Hilfe derer können wir uns auf Betriebssysteme konzentrieren, deren Verständnis um potentiell ausnutzbare Sicherheitslücken wir uns schon im Vorfeld bemüht haben. Ein beliebtes Ziel sind Test-Systeme, die aufgrund ihres Einsatzgebietes schlecht gewartet werden.

Ein weiterer beliebter Trick ist das Nutzen des host-Kommandos unter UNIX. Auf diesen Befehl gehe ich jedoch nur in meiner UNIX-Dokumentation ein. Siehe auch online unter http://www.security-guide.ch.

1.4.3 DNS-Abfragen: Gegenmassnahmen
Der Zugriff darauf über TCP-Port 53 sollte nur den Secondary-DNS-Servern erlaubt werden: Ein korrekt konfiguriertes Firewall-System, ein TCP-Wrapper reicht eigentlich schon aus, kann Wunder wirken; ausserdem erschwert eine Authentifikation auf Basis von IP-Adressen statt Domainnamen Angriffe dieser Form.
1.5 Das Netzwerk auskundschaften
Sobald die Ziel-Netzwerke identifiziert werden konnten, darf man sich des Herausfindens der eingesetzten Netzwerktopologie und potentiellen Zugriffspfade annehmen. Dieser Schritt ist sehr wichtig für den Eindringing, da er sich zuerst der Marschroute in das fremde Netz bewusst werden muss.

1.5.1 Traceroute

Um dieses Auskundschaften tätigen zu können, bemächtigen wir uns des Programms traceroute, das zum Lieferumfang eines jeden UNIX gehört. Auch unter Windows (alle netzwerkfähigen Versionen) wird dieses Analyse-Tool gern genutzt, trägt dort jedoch aus Gründen der Kompatibelität den Namen tracert.exe.

Traceroute ist ein Diagnosetool, das ursprünglich von Van Jacobson geschrieben wurde, mit dem die Route eines IP-Pakets zu einem Host erkannt werden kann. Traceroute verwendet die Time-To-Live-Option (TTL) eines IP-Pakets, um die ICMP-Nachricht TIME_EXCEEDED von den jeweiligen Zwischenstationen, meistens sind dies Router, auszulesen. Jeder Router, der das Paket weiterleitet, muss den Zähler des TTL-Felds dekrementieren, wodurch das besagte Feld zum Hop-Zähler degeneriert wird. Neben dem Erkennen der Zeitdauer des Erreichens des Ziels kann auch die Route und indirekt sogar die eingesetzte Netzwerktopologieerkannt werden.

Sehen wir uns dies an einem Beispiel an. Die folgende Ausgabe stammt von tracert.exe auf einem Windows 98-System:
 
MS-DOS-Eingabeaufforderung
C:\WINDOWS>tracert ubs.ch

Route-Verfolgung zu ubs.ch [193.134.254.228]

Über maximal 30 Abschnitte:

  1     1 ms     0 ms     1 ms  gateway.computec.ch [192.168.0.1]
  2    74 ms    14 ms    25 ms  gw.hispeed.ch [62.2.65.254]
  3   290 ms   239 ms   248 ms  rtr1.cablecom.net [62.2.1.1]
  4   285 ms   281 ms   185 ms  fw.ubs.ch [193.134.254.1]
  5   450 ms   495 ms   442 ms  gate.ubs.ch [193.134.254.10]
  6   288 ms   250 ms   248 ms  ubs.ch [193.134.254.228]

Route-Verfolgung beendet.

C:\WINDOWS>_

Ein Traceroute zu ubs.ch mit Windows 98.

Wir können anhand dieser Ausgabe den Pfad zum Ziel erkennen, dem die Pakete zu folgen pflegen: Sie verlassen unser lokales Netzwerk über das Gateway (Hop 1: gateway.computec.ch [192.168.0.1]) und erreichen, ohne durch eine Blockierung gehindert zu werden, das Ziel über 4 Hops (2-5). Aus den ersten Schritten des in Kapitel 1.3 (DNS-Abfragen) beschriebenen Auskundschaftens wissen wir, dass die MX-Einträge auf den Rechner gate.ubs.ch verweisen. Daraus können wir schliessen, dass es sich um einen physikalisch vorhandenen Rechner mit Mail-Funktionalität handelt und beim vorherigen Hop (fw.ubs.ch [193.134.254.1]) der Rand des UBS-Netzwerks erreicht wurde. Hop 4 könnte ein dedizierter anwendungsbasierter Firewall-Rechner oder ein einfacher Paketfilter sein: Im Moment sind wir noch nicht ganz sicher und unser Interesse lässt uns diesbezüglich mehr oder weniger ignorant in eine andere Richtung weitergehen. Normalerweise führt jedoch das erste Gerät des Unternehmensnetzwerks eine Firewall-Funktionalität aus, was dahinter eine vollwertige Firewall oder einen Router mit ebensolcher Funktionalität vermuten lässt.

Dieses Beispiel, wie so manche in dieser Dokumentation, habe ich absichtlich versucht so einfach wie möglich zu halten, und es entspricht daher in keinster Weise der Realität. In komplexen Umgebungen können mehrere parallele Router existieren, die die Netzwerkauslastung mittels Load-Balancer untereinander aufteilen um mehr Performance herauszuschlagen. In vielen Fällen werden Sie an routende Elemente herantreten, die Filterzeilen aufweisen, die dieses Tracerouting unmöglich machen. Wie solche Mechanismen umgangen werden können, versuche ich in Kapitel 7 (Firewall-Systeme) darzulegen.

Sobald mehrere Routen zu existierenden Hosts im besagten Netzwerk getätigt wurden, kann man sich an die Auswertung und das Erstellen des daraus resultierende Netzwerkdiagramms machen, das die Architektur der jeweiligen Gateways und Hosts darstellt. Eine solche Skizze wird als Zugriffspfad-Diagramm bezeichnet. Im Gegensatz zur UNIX-Version von traceroute werden bei Windows NT standartmässig ICMP-Echo-Requests-Pakete übertragen. Aus diesem Grund können die Resultate unter Umständen stark voneinander abweichen.

Ich möchte nun gerne einen Parameter von traceroute besprechen, der für das Erstellen eines Zugriffspfad-Diagramms von Nutzen sein kann: Der Schalter "-p" in der UNIX-Version ermöglicht die Eingabe einer UDP-Portadresse, die immer um eins inkrementiert wird, wenn der Befehl gestartet wird. Ohne Modifikation von traceroute werden wir diesem Umstand nicht entgegenwirken können. Michael Schiffmann hat jedoch einen Patch mit dem Parameter "-s" für traceroute 1.4a5 geschrieben und publiziert, der diese Inkrementierung ausschaltet. Nützlich ist dies, wenn bestimmte UDP- und ICMP-Pakete von Firewall-Elementen geblockt werden:
 
MS-DOS-Eingabeaufforderung
C:\WINDOWS>tracert ubsw.com

Route-Verfolgung zu ubsw.com [193.82.178.23]

Über maximal 30 Abschnitte:

  1     1 ms     0 ms     1 ms  gateway.computec.ch [192.168.0.1]
  2    74 ms    14 ms    25 ms  gw.hispeed.ch [62.2.65.254]
  3   290 ms   239 ms   248 ms  rtr1.cablecom.net [62.2.1.1]
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.
  6     *        *        *     Zeitüberschreitung der Anforderung.

Route-Verfolgung beendet.

C:\WINDOWS>_

Die ICMP-Echo-Request-Pakete werden durch den Hop 4 geblockt.

Wie wir sehen, werden die ICMP-Echo-Requests durch den Hop 4 geblockt. Für den Anfang ist eine Definition des UDP-Ports 53 (DNS-Abfrage) von Vorteil, da sehr viele Firewall-Systeme solche Anfragen durchlassen:
 
Welcome to SuSE Linux 7.1 (i386) - Kernel 2.2.17

prometheus login: root
Password: 
Last login: Wed Jan 17 09:11:13 on tty1
Have a lot of phun...
root@prometheus:~ > traceroute ubsw.com
traceroute to ubsw.com (193.82.178.23), 30 hops max, 40 byte packets
 1     1 ms     0 ms     1 ms  gateway.computec.ch [192.168.0.1]
 2    74 ms    14 ms    25 ms  gw.hispeed.ch [62.2.65.254]
 3   290 ms   239 ms   248 ms  rtr1.cablecom.net [62.2.1.1]
 4   285 ms   281 ms   185 ms  fw.ubsw.ch [193.82.178.1]
 5   450 ms   495 ms   442 ms  gate.ubsw.ch [193.82.178.10]
 6   288 ms   250 ms   248 ms  ubsw.ch [193.82.178.23]

root@prometheus:~ > _

Beim Versand von UDP-Paketen stehen wir auf der Gewinnerseite.

Die vorangegangenen Aktivitäten haben wir mit zeilenorientierten traceroute-Clients verbracht. Durch sie lassen sich mittels Scripts Aufgaben sehr leicht und schnell automatisieren. Wenn Sie sich eher in einer grafischen Umgebung zu Hause fühlen, dann darf ich auf das Utility VisualRoute verweisen. Das besagte Tool stellt die Auswertung imposant grafisch dar und kombiniert die traceroute-Methodik mit whois-Abfragen:

Der Report von VisualRoute 5.0b für Windows zur Abfrage zur ubs.ch.
Der Report von VisualRoute 5.0b für Windows zur Abfrage zu ubs.ch.

Das Programm macht einen echt guten Eindruck, wirkt jedoch bei langwierigen und aufwendigen Abfragen von grösseren Netzwerken ziemlich träge und unüberischtlich (Schauen Sie sich doch mal die Online-Demo unter http://www.visualware.com/visualroute/livedemo.html an!). Gleiches gilt für sein, nicht minder bekanntes, Derivat mit dem Namen Neotrace Pro.
 
Name Ressource Plattform
Neotrace Pro http://www.neoworx.com/download Windows 9x/ME/NT/2000
VisualRoute http://www.visualroute.com Windows 9x/NT/2000 und UNIX/Linux
VisualRoute Live Demo (online) http://www.visualware.com/visualroute/livedemo.html Plattformunabhängig, solange ein Java-fähigerWebbrowser genutzt wird.
Grafische traceroute-Programme.

1.5.2 Traceroute: Gegenmassnahmen
Die in diesem Kapitel vorgestellten Methoden wurden von geübten Angreifern bis zur Perfektion weiterentwickelt. Es gibt jedoch Massnahmen, die die Analyse des Unternehmens-Netwzerks erschweren dürften:
  1. Als erstes lohnt sich das Nutzen eines Firewall-Systems, das verdächtige ICMP- und UDP-Aktivitäten gegebenenfalls unterbindet und protokolliert.
  2. Zum ähnlichen Zweck wurde von Vadim Lolontsov das UNIX-Utility tdetect geschrieben, welches alle traceroute-Pakete mit einer TTL-Feldlänge gleich 1 erkennt und über syslog protokolliert.
  3. Einen Schritt weiter geht da das von Rhino9 entwickelte Tool RotoRouter, das eingehende traceroute-Anforderungen erkennt, protokolliert und verfälschte Antworen zurückliefert.
Name Ressource Plattform
tdetect http://packetstorm.securify.com/UNIX/loggers/tdetect-0.2.tar.gz UNIX/Linux
RotoRouter http://www.bitchx.com/~humble UNIX/Linux
Utilities für die Bekämpfung von unerwünschten traceroute-Analysen.
1.6 Social Hacking
1.6.1 Was ist Social Engineering
Kevin Mitnick bei seiner VerhaftungEine uralte, sehr beliebte und dementsprechend nicht zu unterschätzende Angriffsart ist das Social Engineering; auch gerne mit dem umfassenderen Überbegriff Social Hacking genannt. Diese Form des in Erfahrung bringens von Informationen hat wenig mit technischem Know how zu tun. Ein Angreifer ruft zum Beispiel einen unbeholfenen Benutzer an, gibt sich als Administrator aus und behauptet, dass er aufgrund von Wartungsarbeiten das Benutzer-Passwort wissen müsse. Der ungeschulte und leichtgläubige Anwender wird ohne Zögern die wertvollen Informationen preisgeben. Diese Technik wurde unter anderem auch von Amerikas Supercracker Kevin "Condor" Mitnick genutzt, der in der Szene als Spezialist auf diesem Gebiet galt; gleiches wurde auch Kevin Poulsen nachgesagt. Vorteilhaft sind Hintergrundinformationen zum Unternehmen und dessen Netzwerk, die sich durch die vorausgegangenen Schritte herauskristallisiert haben.

Mehr Informationen (und Fotos) zum "Condor" finden sich in der Dokumentation von Roger Kündig. Die aufregende Jagd nach ihm durch Tsutomu Shimamora kann in seinem Buch "Data Zone - Die Hackerjagd im Internet" nachgelesen werden. Es existieren einige interessante englischsprachige Dokumente zum Thema Social Hacking, die einen tieferen Einblick in die besagten psychologische Raffinessen zu vermitteln versuchen.

1.6.2 Was ist Trashing
Eine ähnliche Form dieses Schnüffelns wird als Trashing bezeichnet. Dabei untersucht ein Angreifer lediglich den Müll einer Firma, denn dort finden sich auffällig oft Informationen über verwertbare Benutzer- und Computerdaten.

Ein vergleichbares und vielleicht Sie besser ansprechendes Beispiel ist in der Welt der Geldautomaten zu suchen: Gehören Sie auch zu der Sorte Mensch, die stets und immer eine Quittung bei Bezügen am Geldautomat verlangen? Und werfen Sie diesen kleinen Zettel auch immer gleich nach der hastigen Einsicht weg? Bedenken Sie, dass sich darauf für einen Bösewicht ziemlich interessante Informationen befinden können: Zum Teil sind neben Anschrift und Kontostand auch gleich die Konto- und Kreditkarten-Nummer notiert - Ein Fest für jeden Gauner, der gerne auf Kosten anderer (sehr einfach im Internet umzusetzen!) einkauft...

1.6.3 Social Hacking: Gegenmassnahmen
Um dieser Gefahr entgegenzutreten, stellen Sie Richtlinien auf, die auch befolgt werden müssen. Schulen Sie zudem das Personal, denn ein guter Administrator wird wohl kaum einen User nach seinen Benutzerdaten fragen müssen.

In Umgebungen mit gestärktem Sicherheitsbewusstsein sind Aktenvernichter an der Tagesordnung. Ich bezweifle, dass ein Angreifer so viel Können und Ausdauer besitzt, den Stapel an Papierfetzen zur Analyse in die richtie Reihenfolge zu bringen.

1.7 Zusammenfassung
Wie wir gesehen haben, gibt es viele Methoden, mit denen Angreifer das Netzwerk erforschen können, um ein Profil festzulegen. Die vorgestellten Tools und Techniken gelten als Standart und wurden im Laufe der Zeit verbessert und erweitert.

Einen Grossteil der Vorarbeit muss ein Angreifer mit langwierigen Abfragen, Auswertungen und Analysen von Suchdiensten zubringen. Dieser Schritt ist nötig, um so viele Informationen wie möglich über ein Unternehmen, dessen Personen und Netzwerk in Erfahrung zu bringen.

Sind die Adressblöcke und Domain-Namen eines Unternehmens bekannt können die traceroute-Utilities zur technischen Auswertung genutzt werden. Die für Eingabeaufforderung entwickelten Tools lassen sich mittels Shell-, Perl- und Batch-Programmen effizient, leicht und schnell automatisieren, was erleichternderweise bei besonders grossen Überprüfungen zum Tragen kommt. Wer ein kleineres Netzwerk untersuchen möchte, und sich nicht gern mit langen Parameter-Angaben in der Eingabeaufforderung herummüht, der wird sich die grafischen traceroute-Clients zu Gemüte führen.

Durch die in diesem ersten Kapitel vorgestellten Vorgehensweisen soll verdeutlicht werden, dass eine durchdachte Attacke viel Planung erfordert, die sich keinesfalls primär auf rein technischer Ebene abspielt. Ein beachtlicher Teil dieser Analysen ist langwierig und bedarf einiges an Durchaltevermögen von Seiten des Angreifers.

Viele Hacker und Cracker kennen sich sehr gut mit der Materie aus und können Netzwerkabfragen weitgehend unentdeckt und im Verborgenen erfolgreich durchführen. Daher ist es wichtig und interessant zu versuchen, sich auf gleicher Ebene mit einem solchen Gegner auseinanderzusetzen.

Ein sehr gutes, in englischer Sprache verfasstes Dokument zur Determinierung von Netzwerken ist die "Footprinting FAQ" von Taq.

 
<< | < | = | > | >>