06.08.00 plazmoid p®0udly pr353nt5 -<=:[ plazmoid's grosses Tut der Netzwerk(un)sicherheit ]:=>- 01 Vorwort 02 Einführung 02.01 Geschichte des Internet 02.02 merkwürdige Gestalten? 02.02.01 Cracker 02.02.02 Crasher 02.02.03 Faker 02.02.04 Hacker 02.02.05 Lamer, Pseudo-Hacker & Script Kids 02.02.06 Nerds & Geeks 02.02.07 Phreaker 03 Protokolle? 03.01 TCP 03.02 IP 03.03 ARP 03.04 ICMP 03.05 FTP 03.06 Telnet 03.07 SMTP 03.08 Gopher 03.09 HTTP 03.10 NNTP 04 Angriff & Verteidigung 04.01 Anonymität wahren 04.01.01 Proxy Server 04.01.02 Reals & Fakes 04.01.03 H Methode 04.02 Denial of Service 04.02.01 Bedeutung 04.02.02 Land 04.02.03 OOB 04.02.04 Ping of Death 04.02.05 Smurf 04.02.06 SYN Flooding 04.02.07 Teardrop 04.02.08 Schutzmaßnahmen 04.03 Spoofing 04.03.01 Bedeutung 04.03.02 Referer Spoofing 04.03.03 eMail Spoofing 04.03.04 Provider Faking 04.04 Sniffing 04.04.01 Bedeutung 04.05 BruteForce & Dictionary Attacken 04.05.01 Unterschiede? 04.05.02 Analyse zu Brutus 04.06 Exploits 04.06.01 Was sind Exploits? 04.06.02 Woher bekommen? 04.07 HTML Bugs 04.07.01 Netscape's HTML Bug 04.07.02 IE's HTML Bug 04.08 eMail Bomben 04.08.01 Mass Mailing 04.08.02 HTML Bomb 04.08.03 eMail Relaying 04.09 Sonstige 04.11.01 Active-X Hack 04.11.02 Active-X & HTML Trojaner? 04.11.03 Sicherheits-Tips 05 The End 05.01 Schlußwort 05.02 Greets 05.03 Flames -<=:[ 01 Vorwort ]:=>- Tachen erstma 8-) Dieses Tut soll 'ne Art kleine Referenz zum Thema Netzwerk(un)sicherheit darstellen. Es wird öfters mal etwas abschweifen, weil es Infos gibt die ich euch nicht vorenthalten möchte. Im vergleich zu diversen Büchern ist es relativ klein und hat sicherlich 'n paar Rechtschreibfehler mehr... Aber da es sich hier um ein "non-profit project" handelt kann man mal 'n Auge zudrücken. Es werden zwar einige Beispiele für die Fehler von MicroSoft kommen, aber generell geht's um die "reine" Netzwerk(un)sicherheit. D.h. das es hier für nicht nur ein Betriebssystem was zu lesen gibt. Anmerkung zu den Überschriften: <=:[ Kapitel ]:=> :[ Unterkapitel ]: -Thema- -<=:[ 02 Einführung ]:=>- Die Einführung hattet Ihr ja nun schon im ersten "Kapitel". Hier soll nur gesagtsein das Unterkapitel "02.02 merkwürdige Gestalten?" vom eigentlichen Thema abschweift, aber trotzdem wichtig ist (denk ich mir mal). Viel Spaß beim lesen! :[ 02.01 Geschichte des Internet ]: Es war 1962 und Jack Kennedy war President von Amerkia. Die US Luftwaffe beauftragte eine kleine Gruppe von Nerds ein Netzwerk zu schaffen, das einen nuklearen Angriff von Seiten der Kommi's her überstehen sollte. Dieses Netzwerk hatte keinen zentralen Punkt, sondern könnte - auch wenn mehrere Server ausfallen würden - weiterlaufen. Es war nur für's Militär geplant. Paul Baran war sozusagen der "Vater des Internet". Doch seine radikalen Ideen waren - wie so oft in der Geschichte - seiner Zeit voraus. Das Pentagon legte seine Forschungen - nachdem es seinen 11 Bändigen Bericht gelesen hatte - auf Eis. Doch schon 1965 wurde es wieder gestartet und 1969 wurde das Netz zur Realität. Es hieß "ARPANET". Eine Firma in Washingten "vermietete" Computer Rechenzeit. Das Unternehmen stellte 2 Jugendliche ein, die Software testen sollten. Für ihre Dienste erhielten die beiden freien Zugang zu einem PDP-10 (heute mit einem Mailbox-System vergleichbar). Leider ging das Unternehmen bald Pleite. Doch die Erfahrungen welche die beiden machten, sollte ihr Leben verändern. Diese beiden sind Bill Gates und Paul Allen. Es stellte sich ein grossen Problem in der weiteren Entwicklung des ARPANET dar. Es gab kein Betriebssystem, das für diese neuartige Variante eines Netzes geiegnet war. Doch wie der Zufall es will wurde zu dieser Zeit an einem anderen Ort in den USA das OS UNIX entwickelt. Die damalige Version hatte wenig Ähnlichkeit mit den heutigen Unixen. Das "Ur-Unix" war ein Single-User System und hatte nur die Software, die es brauchte um zu laufen. 1972 gab's schon 40 Server im ARPANET und die "Email" wurde als solches von Ray Tomlinson erfunden. 1974 erfanden Vinton Cerf und Robert Khan das "Transmission Control Protocoll" - kurz TCP. 1975 funktionierte das ARPANET schon recht gut. Die Basis-Arbeit war getan und die US Regierung beanspruchte es. Seit 1975 entwickelten sich UNIX und das ARPANET gemeinsam, da Unix das offizielle Arpanet-Betriebssystem war. Almählich gehen wir auf die 90er Jahre zu. Das Internet wurde vom Militär und den Uni's genutzt. Kommerzielle Projekte, sprich Werbung wurde vom NSF untersagt. Die Anzahl der Server/Hosts war auf ca 300 000 gestiegen. Heute verfügt das Internet über weit mehr als 30 mio. Hosts und den Rest kennt Ihr ja. :[ 02.02 merkwürdige Gestalten? ]: Im Internet wirst Du unter Umständen auf mehr oder weniger merkwürdige Gestalten treffen. Das dies nicht alles "Hacker" sind dürfte klar sein. Ich hab mir mal die Arbeit gemacht diese Kreaturen *g* zu beschreiben. -02.02.01 Cracker- Cracker lassen sich am besten mit "Software Piraten" übersetzen. Sie heben Kopierschütze von Anwendungen oder CD's auf, "saugen" RegistrierCodes aus Programmen oder verändern sie auf andere Art & Weise. Das dies illegal ist, dürfte jedem klar sein. Sie sind meist gute Programmierer (bevorzugt Assembler). -02.02.02 Crasher- Crasher sind Leute, die sich Ähnlich wie "Hacker" mit Netzwerksicherheit beschäftigen. Sie unterscheiden sich von "Hackern" in mehreren Punkten. Der markanteste ist wohl: -Sie wenden ihr Wissen nur an um Unfug im Netz zu treiben bzw. zu zerstören. -02.02.03 Faker- Sie erstellen Provider-Fakes und können meist nichts anderes. Provider-Fakes sind illegale Zugänge zum Internet, die mit gefakten(gefälschten) Daten beim ISP (Inernet Service Provider) angemeldet werden. Diese Zugänge sind - zumindest teilweise - kostenlos. Bei Fake-Accounts des ISPs AOL besitzt muß man noch die Telefonkosten zahlen. Bei den anderen Anbietern bezahlt man in der Regel nichts. -02.02.04 Hacker- Hacker sind durch u. a. Filme wie u.a. "Hackers" & "Sneeks" nun fast schon zur Kultfigur geworden. Doch in diesen Filmen sind "Halbwahrheiten an der Tagesornung". Sie putschen ein Thema so auf, das es jeden PC-User zum "mitfiebern" anhält und jeden Hacker den Magen umdreht. Hacker interessieren sich für Netzwerksicherheit und kennen sich in ihren Betriebssystemen sehr gut aus. Meistens haben sie ein Linux und Windows auf der Platte, wobei sie vortäuschen Windows nicht zu mögen. Sie wissen das Windows ein für grafische Anwendungen sehr gutes Betriebssystem ist und man auch sonst 'ne Menge damit anfangen kann. Aber ihr "wahres Wesen" spiegelt sicht meist in einem Linux oder Unix wieder. Die meisten haben eine eigene Ethik die der Hacker-Ethik im grossen und ganzen entspricht. Sie legen ab und zu Systeme lahm, aber das ist eher seltener. "Normalerweise" versuchen sie neue Sicherheitslücken zu entdecken um sie zu publizieren (und gelegentlich auszunutzen). Fast jeder Hacker träummt davon Admin eines grösseren Servers zu werden oder in einer Firma Chef der Sicherheitsabteilung zu werden. Halt Jobs in der Art halt. Man könnte hier nochlang weiter schreiben. Ich habe mich aber sichtlich bemüht einen kurzen Text zu verfassen. -02.02.05 Lamer, Pseudo-Hacker & Script Kids- Es gibt viele Begriffe für diese Personen. Sie ziehen die Ehre der Hacker in den Dreck, da sie von den Medien oftals solche bezeichnet werden. Was ist den genau ein Lamer? Ein Lamer ist jemand der sich überall als Hacker und Obermotz ausgibt, in Wirklichkeit aber die "0 Peilung" halt. Er benutzt Trojaner, Nuker oder andere Programme, die von Nerds programmiert wurden. Diese Programme sind sehr leicht zu benutzen und bieten grosses Potenzial. Mit einemTrojaner kann z.B. ein 8 Jähriger die Passwörter eines infizierten Rechners herausfinden. Diese Leute die Trojanner bedienden, also Lamer halten sich für die grössten... aber das hatten wir schonmal. Kurz und knapp: Lamer sind Dreck und nicht's als Dreck. -02.02.06 Nerds & Geeks- Im algemeinem verfügt der Nerd (ursprünglich: Streber) über herausragende Computerkenntnisse und verbringt seine Freizeit vor dem Bildschirm oder Schachbrett. Durch die Isolation, die der beste Freund Computer mit sich bringt, entstand das Klischee des unverstandenen Außenseiters. Der Nerd ist ein -Coder[Programmierer], -Hacker[Netzwerkspezialist], -Cracker[Softwarepirat], -Phreaker[Telefonspezialist] und/oder -Carder[(Magnet)kartenspezialist]. (Ich bezeichne mich selbst auch als Nerd) Ein Geek ist das selbe in grün, nur das Geeks auch Trekkies sind. -02.02.07 Phreaker- Ein Phreaker ist sozusagen Meister aller Telefone. Er kann sich z.B. in ein beliebiges Telefonnetz einklinken um kostenlos zu Telefonieren oder zu Surfen. Oder einen T-Anschluß anzapfen und somit mithören was der Besitzer interessantes "Tante Jutta" oder "Onkel Heinrich" erzählt. Es gibt zahlreiche Einsatzmöglichkeiten und es wäre zu viel sie alle aufzulisten. Die Geschichte des Phreakens fing damals in Amerika mit "Captain Crunch" (oder so) an. Die (meines Wissens nach) älteste, deutsche Phreaker Gruppe ist DEEP (drunken evil elite phreakers). Ich persönlich zolle jeden guten Phreaker grossen Respekt. -<=:[ 03 Protokolle? ]:=>- Nun vieleicht weisst Du es ja noch nicht, aber das Internet "besteht" aus Protokollen. Wenn man z.B. eine Email verschicktmacht man das normalerweise über das Protokoll SMTP. In diesem Kapitel werden die wichtigsten Protokolle kurz beschrieben. :[ 03.01 TCP ]: Das "Transmission Control Protocoll" wurde weiter oben (02.01) schon kurz erwähnt. Es wurde - wie gesagt - 1974 von Vinton Cerf und Robert Khan für das ARPANET entwickelt. TCP ist eines der "Hauptprotokolle" des Internet und ist fester Bestandteil der "TCP/IP Protokollfamilie", wie es die meisten anderen Protokolle auch sind. Seine Arbeitsweise kann man als "zuverlässige Übertragung" bezeichnen. Die Verbindung die es vom anfragendem zum Ziel-Rechner Herstellt wird als "three-part-handshake" bezeichnet. Nachdem die Verbindung hergestellt wurde können die Daten quasi simultan in beide Richtungen "reisen". :[ 03.02 IP ]: Das "Internet Protocoll" ist für die Datenübertragung jedes Protokolls der "TCP/IP Protokollfamilie" verantwortlich. Ein IP Datagramm besteht aus mehreren Teilen. Der erste Teil, der Header besteht u.a. aus der jeweiligen IP-Adresse des Absenders und Empfängers. Der Rest enthält die zu versendenden Daten. Etwas besonderes am Internet Protokoll ist das Datagramme während des Übertragens fragmentiert und wieder zusammengesetztwerden. Auch wenn sie nicht in der selben Reihenfolge ankommen. Ein IP Datagramm enthält noch weitere Infos wie z.b.: -Identität des benutzten Protokolls; -eine Header-Prüfsumme; -eine Time-to-Live Spezifikation. Diese SPezifkaton ist nichts anderes als eine Zahl. Während das Datagramm sich durch's Netzbewegt wird die Zahl andauernd verkleinert. Wenn die Zahl= 0 ist, dann wird das Datagramm verworfen. Viele Paket Typen haben Time-to-Live Einschränkungen. Alles in allem dient das Internet Protokoll dazu Datenpakete über's Netz zu übertragen. :[ 03.03 ARP ]: Das "Adress Resolution Protocoll" weist die IP-Adresse einer physikalischen Adresse eines Netzwerk-Interfaces zu. Der "Ursprungsrechner" schickt ein ARP Broadcoast an alle Rechner, die physikalisch an dem selben Netzwerk angeschlossen sind um nach Daten zu "spähen". Die Antwort des Broadcoast's enthält die Paarung zwischen physikalischer adresse und IP-Adresse. Die Antwort muß nicht unbedingt vom "Eigentümer Rechner" kommen sondern kann auch von 'nem anderen kommen, auf dem sie gespeichert ist. Sobald der ARP Reply den "Ursprungsrechner" erreicht, beginnt der mit dem Datentransfer - wobei er die IP Pakete nur an das Netzwerk-Interface des Rechners schickt, dessen phy. Adresse er erfragt hat. Die anderen Rechner reagieren darauf nicht, also wird keine unnötige Rechenzeit verbraucht. Das ist der Grund, wegen dem das ARP eingeführt wurde. :[ 03.04 ICMP ]: Das "Internet Control Message Protocoll" ist wichtig für die Diagnose von Netzwerkproblemen. Es sammelt z.B. folgende Infos: -ob ein Host heruntergefahren ist; -ob ein Gateway betriebsunfähig oder verstopft ist; -ob ein anderer Fehler innerhalb des Netzwerks auftauchte. Ein Beispiel für die Verwendung von ICMP: Wenn man einen Rechner anpingt um z.B. sicherzustellen das er momentan am Netz hängt, dann sendet man IP Pakete über ICMP und waretet auf das Echo. Wenn kein Echo am Ursprungsrechner vom Zielrechner zu vermerken ist, wird der Host als "nicht erreichbar" klassifiziert. Wenn es ein Echo gibt, dann sieht man die Zeit, die es gedauert hat bis das Echo eintraf. :[ 03.05 FTP ]: Das "File Transfer Protocoll" ist standardmäßig auf Port 21 zu finden und wird zum Übertragen / zur Verbreitung von Dateien über's Netz verwendet. Der Ur-Rechner schickt eine Anfrage über (in den meisten Fällen) Port 21 an den Zielrechner. Wenn auf dem Zielrechner ein FTP-Daemon läuft, dann dürfte alles klar sein und die Datei kann heruntergeladen werden. Wenn man die Berechtigung zum Hochladen von Dateien hat, kann man dies natürlich auch machen. Wenn auf dem Zielrechner kein FTP-Daemon läuft, dann wird die Anfrage natürlich nicht als solche erkannt. D.h. es passiert nix bzw. der FTP Client, der die Anfrage stellte gibt eine Fehlermeldung aus. :[ 03.06 Telnet ]: Zitat aus dem RFC 854: "Zweck des Telnet-Protokolls ist es, eine eher generelle, in beide Richtungen gerichtete, 8-bit Byte-orientierte Kommunikationsmöglichkeit zur Verfügung zu stellen. Das Hauptziel ist das Realisieren einer Standard-Methode, um Endgeräte oder Endgerät-basierte Prozesse miteinander zu verbinden." Mit Telnet kann man sich nicht nur in einen entfernten Host einloggen, sondern dort auch Befehle ausführen. Der standardmäßige Port für telnet ist 23 (jetzt kommen wieder die Illumminaten-Fanatiker *g*). :[ 03.07 SMTP ]: Das "Simple Mail Transfer Protocoll" ist für das Versenden und Übertragen von eMails zuständig. Es hat sich standardmäßig auf Port 25 eingenistet 8-) Es legt fest bzw. mit ihm wird festgelegt wer der Absender und der Empfänger der Mail ist. Zudem wird mit SMTP bestimmt was das Subject und was der Body der eMail sein soll. :[ 03.08 Gopher ]: Gopher bzw. Der Gopher Dienst / das Gopher Protokoll ist ein hierarchisches Infosystem. Es wurde für ein Campus-weites Infosystem an der Uni von Minnesota entwickelt. Gopher ist relativ "mächtig" und ist für Texte, Sound und andere Medien geeignet. Da er grösstenteils im Text-Modus arbeitet ist er über einen Browser viel schneller als HTTP. :[ 03.09 HTTP ]: Das "HyperText Transfer Protocoll" ist standardmäßig vor allem auf den Ports 80 und 8080 zu finden. Da es das Surfen ermöglicht, dürfte es wohl das bekannteste aller Protokolle sein. HTTP hat dafür gesorgt, das das Internet für die Massen interessant wurde. Es hat eine gewisse Ähnlichkeit mit Gopher. Über HTTP werden WebSites - die ja bekanntlich auf einen FTP Server liegen - eingelesen. So das war's im grossen und ganzen auch schon wieder von HTTP, einem (meiner Meinung nach) genial-simplen Protokoll. :[ 03.10 NNTP ]: Das "Network News Transfer Protocoll" ermöglicht den Zugang zu dem Nachrichtendienst USENET. Vom USENET dürfte jeder schon einmal etwas gehört haben, oder? NNTP - das standardmäßig Port 119 benutzt - hat eine gewisse Ähnlichkeit mit SMTP. Als Netzwerk Protokoll wird TCP benutzt und erlaubt werden einfachste Befehle wie ein Promt. Ich will mich hier nicht allzu sehr über NNTP auslassen, da ich nach den ganzen Texten hier erstmal eine rauchen muß 8-) -<=:[ 04 Angriff & Verteidigung ]:=>- Dies ist das für Euch wohl interessanteste und zugleich grösste Kapitel in meinem Tut. Die vorherigen 3 Kapitel wahren eine erweiterte Einführung in die "Daten Fern-Übertragung" (DFÜ). So, ich will Euch nun nicht alzu dolle vollschwafeln 8-) Los geht's! :[ 04.01 Anonymität wahren ]: In diesem, ersten Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch verschiedene mehr oder weniger aufwendige und brauchbare Methoden zeigen, die Euch helfen sollen die Anonymität in Netzen zu wahren. -04.01.01 Proxy Server- Früher: ------ Proxy Server wahren Gedacht um Seiten, die auf Servern am anderen Ende der Welt liegen schneller aufzurufen. Ein Proxy Server durchsucht seine Datenbank ob ihm die bestimmte Ziel-URL des Benutzers bekannt ist und vergleicht anschließend, ob die entsprechende Internetseite neuer ist als die gespeicherte. Wenn sie in dem Proxy-Cache ist und es keine neuere gibt, dann wird die Seite vom Proxy geladen. Das ist schneller als wenn man die Site über eine sehr weite Entfernung anfordern würde. Wenn die Seite nicht im Proxy-Cache ist oder es eine neuere Version gibt, dann läd sie der Proxy eben und speichert sie. Dabei ist keine Zeitersparniss für den ersten User zu verzeichnen. Heute: ------ Proxy Server werden sicherlich noch wegen ihrem "ursprünglichen" Zweck genutzt. Doch heute werden sie verstärkt genutzt um sich etwas anonymer im Internet zu bewegen. (z.B. Surfen) Wie kann ich jetzt damit anonym sein? Nun eine kleine ASCII "Grafik" sollte dies verdeutlichen: ____ ______ | | eigene IP-Adresse | | | PC | ---------------------------------------------------> | Host | |____| |______| ____ _______ ______ | | eigene IP-Adresse | | Proxy's IP-Adresse | | | PC | ------------------> | Proxy | -------------------> | Host | |____| |_______| |______| Beim normalen Surfen (Abbildung 1) werden auf dem Host bzw. in dessen LOG-Files folgende Daten hinterlassen: -deine IP-Adresse; -Zeit des Zugriffs. Beim Surfen mit dem Proxy (Abbildung 2) werden auf dem Host bzw. in dessen LOG-Files folgende Daten hinterlassen: -IP-Adresse des Proxys; -Zeit des Zugriffs. Nun sie sehen es: der Host weiß sogut wie nicht's von Ihnen! Ein anonymer Proxy - auf dem Deine Daten sind - wird niemals diese Daten weitergeben (höchstens an die Polizei). Das benutzen eines Proxy Servers ist nicht verboten, sprich es ist legal. -04.01.02 Reals & Fakes- Was Fakes sind, wissen wir schon. Doch was sind Reals? Reals sind sozusagen gestohlene Zugänge zum Internet. Man loggt sich praktisch mit den Einwahldaten von "Tanta Jutta" oder "Onkel Klaus" ins Netz ein und lässt diese für die eigene Online-Zeit zahlen. Wenn man sich nun über einen Real oder Fake einwählt, Unfug treibt und die Polizei ermittelt, dann erhält diese unter Umständen die Daten des Besitzers - sprich: "Tante Jutta", "Onkel Klaus" oder wenn es ein Fake war erhält die Polizei Daten, mit denen sie nichts anfangen kann, weil es diese Person nicht gibt. Soweit verstanden? Es ist möglich die Telefonnummer herauszufinden mit der man sich ins Netz eingewählt hat, doch ob diese und wenn wie lange bei welchem ISP gespeichert wird ist unklar. Es ist nur klar, das diese bei IBC (Internet by Call) Providern gespeichert wird. Das benutzen eines Realsoder Fakes ist verboten, sprich es ist illegal. -04.01.03 H Methode- Ich entwickelte, sowie publizierte die "H Methode" am 18.05.00 in meinem Tut "[AIN] Anonymität im Netz". Ihr braucht: - 1ne Prepaid Karte - 1 - 3 Aufladekarten - 1 Handy, mit nem PC(Modem)-Adapter - 1 Laptop mit Modem - Software, für deinen Zweck Ihr solltet das Handy/den Adapter/die PrePaid Card in einem entfernteren Laden kaufen. Er sollte mindestens 5 km von eurem Wohnort entfernt sein. Nun erstmal das Handy mit der/den PrePaid-Card(s) aufladen, damit du genug Money drauf hast. Ich erkläre euch zunächst wieso es unbedingt ein Handy mit PrePaid Karte sein muß: Wenn man sich eine PrePaid Karte holt, braucht man seine Daten nicht angeben! Also können die Bullen nur (wenn sie das überhaupt machen) deine Rufnummer und deinen ungenauen Standort durch's Tracen ermitteln. Dieser "StandortTrace" ist auf einem Umkreis von 500-1000 m genau. So, du fährst mit Bus/Bahn etc in eine große Stadt, sofern Du in keiner lebst. Sie sollte über 1 mio. Einwohner haben, da dort mehrere Leute mit Handy telefonieren und vor allem sehr viele Leute in dem Umkreis "leben/arbeiten/etc". Dadurch können die Bullen dich sogut wie nicht ausfindig machen. (Falls Sie das überhaupt tuen werden während du dort bist-sehr unwahrscheinlich [das Tracen war gemeint] ) Falls Du in einer solchen Großstadt lebst, solltest du mindestens 1,5 km von deiner Wohnung aus weggefahren sein um dich sicher zu fühlen! Nun wählst du dich über einen IBC Prvider ein ! (nur ein Blödmann würde über seinen Vertrags-ISP reingehen) (Anmerkung: IBC=Internet by Call [z.B. Mogelcom] - ISP=Internet Service Provider [z.B. T-Online] ) Wieso IBC? Bei IBC unterschreibt man keinen Vertrag etc., es wird alles mit der Telefonrechnung bezahlt. Die Rechnug erhält man per Post, da du aber über ein prePaid Handy reingehst-haben sie die Adresse nicht. Es ist nicht so, das du nix bezahlen müßtest , die werden meist über dein PrePaid... abgerechnet. Die Bullen werden wahrscheinlich die LOG-Filez der Server, die ihr genutzt habt angucken und eure IP herausfinden. Dann geben Sie die IP und Uhrzeit dem Provider, der ihnen helfen soll. Ein ISP würde ihnen deine Adresse etc. geben. Ein IBC Provider hat nur die Telenummer (Handynummer in diesem Fall). Da es ein PrePaid-Card Handy ist hat auch nicht der Netzbetreiber Info's über dich. Nun werden die Bullen versuchen dein Handy abzuhören... Also, wirfst du einfach die PrePaid-Sim-card weg und bist sozusagen 100%ig anonym im Netz gewesen. Beim nächsten Hack, einfach ne neue PrePaid Card (die weist die Handy-Nummer zu) kaufen und den Text nochmal durchlesen 8-) Das benutzen dieser Methode ist nicht verboten, sprich es ist legal. :[ 04.02 Denial of Service ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch verschiedene Angriffs Methoden des "Denial of Service" (DoS) bzw. "Distributed Denial of Service" (DDoS) näher bringen. Natürlich werde ich auch einige Tips zur Vermeidung grösseren Schadens durch (D)DoS Attacken bereit halten. -04.02.01 Bedeutung- (Distributed) Denial of Service bedeutet soviel wie "etwas ausser Betrieb setzen". Eine Denial of Service Attacke, die auf das RL (Real Life) zurück greift wäre wenn man z.B. an einem intakten Automaten den Schlitz verstopft, in dem man das Geld hinein steckt. Eine Distributed Denial of Service Attacke wäre, die auf das RL zurück greift wäre wenn man z.B. mit mehreren Leuten zusammen an einem intakten Automaten den Schlitz verstopft, in dem man das Geld hinein steckt. Diese beiden Beispiele sind nun wahrlich sehr simpel, aber ich denke das sie zum Verstehen einer (D)DoS Attacke und dem Unterschied zwischen DoS und DDoS Angriffen ausreichen. -04.02.02 Land- Durch Land wurde ein relativ komplexer Angriff gefahren, indem ein SYN Paket mit identischem Absender und Empfängerport erzeugt wurde. Anschließend wurde dieses Paket an einen offenen Port gesendet, an dem das Paket durch die vielen IP Stacks eine Art Race Condition erzeugte und dadurch das OS gecrashed hat. Land wurde 1997 entdeckt oder zumindest bekannt. Die Auswirkungen waren sehr begrenzt, denn viele Rechner waren schon durch die Attacken vorhergehender Tools geschützt und die Systemverwalter trafen schnell Sicherheitsvorkehrungen. CISCO-Router waren jedoch oft von Land Attacken betroffen. -04.02.03 OOB- Der "Out of Band" Angriff bzw. die Möglichkeit das er entstehen konnte lag an MicroSoft bzw. dessen Implementierung des NETBIOS. Wenn wirre Zeichen oder Daten über Port 139 eintrafen kam es zum Systemcrash. Der erste OOB Nuker war "WinNuke" der - wie Land - 1997 bekannt wurde. OOB Attacken verloren schnell ihren Reiz da es Plugins für Win95 gab und Win98 von vorne rein darauf vorbereitet war. Dieser Fehler von MicroSoft war erschreckend primitiv und die Nuker wurden immer besser. Man konnte nach einiger Zeit sogar Nuker finden die "MassNuke"-Funktionen hatten, dem Opfer Nachrichten zukommen ließen oder gleich einen Ping ausführten um zu sehen ob das Opfer wirklich aus dem Netz gefegt wurde. -04.02.04 Ping of Death- Durch "übergrosse" Ping-Pakete wurde ein Buffer Overflow erzeugt. "Ping of Death" funktionierte nicht nur über ICMP mit Ping, sondern auch über UDP und TCP. Diese DoS Attacke war auch Jahrgang 1997 und so ziemlich alles was einen IP Stack hatte war betroffen. Es war die einzige Attacke mit der man sein Opfer auf einen Schlag crashen konnte und das sogarvon Windows aus! Man bracuhte mit dem Standard Programm "Ping" von Windows nur eine ping mit einem entsprechend grossem Wert angeben. Mit diesem Ping of Death legten Bigdadyx und ich auch mal den alten Server des Ku Klux Klans (www.kkk.com) für mehrere Tage lahm. So erzeugt man einen Ping of Death unter Windows: Start --> Ausführen --> Ping -l 65510 www.target.com --> Enter Mitlerweile sind die meisten Hosts sicher vor Angriffen solcher Art. -04.02.05 Smurf- Bei "Smurf" schickt man mehrere Pings an mehrere Hosts und spooft(fälscht) den Absender so, das Absender mit dem eigentlichen Ziel gleich ist. Senden wir nur 1000 Pakete pro Sekunde an 1000 Rechner, die alle antworten, so erhält das eigentliche Opfer 1.000.000 Pakete/s, die es durch den unglaublichen Traffic zum Crash bringen. Wir sehen also das Smurf eine DDoS Attacke ist. Sie war unter dem Namen "ICMP Storm" schon länger bekannt, aber das Tool "Smurf" wurde erst 1997 programmiert. Leider, oder auch nicht - je nachdem wie man es sehen mag - ist Smurf/ICMP Storm heute eher selten noch wirksam. -04.02.06 SYN Flooding- Beim "SYN Flooding" werden TCP Connections zum Opfer mit dem "three-way-handshake" aufgebaut. Normalerweise wird ein SYN Paket gesendet, auf dem mit einem SYN/ACK Paket geantwortet wird und darauf wiederum wird mit ACK bestätigt. Bei der "SYN Flooding" Attacke wird beim "three-way-handshake" die Absenderadresse gespooft. Dadurch wird das SYN/ACk Paket ins leere laufen. Wenn nun nach einiger Zeit keine ernaute Antwort auf diese erfolgt wird der Verbindungsversuch als erfolglos klassifiziert. In der Zeit bis zum Abbruch wird das Opfer mit SYN Paketen geflutet bzw. überflutet 8-) Das SYN Flooding wurde 1996 sehr populär. -04.02.07 Teardrop- Der "teardrop" Angriff hat strake Ähnlichkeit mit dem "Ping of Death". Während der Ping of Death eine übergrosse Fragmentierung erzeugte, überlappte Teardrop die Fragmente einfach und brachte damit Linux & Windows in Probleme. Diese Atacke führte in den meistenFällen auch zum Systemcrash. Wie könnte es auch anders sein? Auch eine 97er Attacke... Teardrop wurde durch Patches schnell ein Ende gesetzt. -04.02.08 Schutzmaßnahmen- Die "Task Force" des "Bundesamt's für Sicherheit in der Informationstechnik" brachte folgende 15 Hinweise zum Schutz vor (D)DoS Angriffen heraus: "Maßnahmen für Netzvermittler Den Netzvermittlern kommt eine zentrale Rolle bei der Verhinderung von DoS zu. Die Netzvermittler sind zwar selber nur selten Ziel von DoS-Angriffen, haben aber indirekt Nutzen von einem sichereren Internet, da das Vertrauen aller Nutzer und damit ihre Zahl wächst. Maßnahme 1: Verhinderung von IP-Spoofing Viele DoS-Angriffe nutzen gefälschte IP-Absenderadressen. Dies macht einerseits einige Angriffe erst möglich und erschwert andererseits die Suche nach dem Verursacher. Durch entsprechende technische Regeln (RFC 2267 vom Januar 1998) in der Netzinfrastruktur der Netzvermittler können die Netzbetreiber diese Möglichkeit wesentlich einschränken, so dass gefälschte Pakete nicht weiter ins Internet vermittelt werden. Eine Organisation, die an einen Netzbetreiber angeschlossen ist, hat einen bestimmten IP-Adressbereich zur Verfügung. Jedes IP-Paket, dass aus dieser Organisation in das Internet geschickt wird, müsste eine IP-Absenderadresse aus diesem Bereich haben. Ist dies nicht der Fall, so handelt es sich um eine gefälschte Adresse und das IP-Paket sollte vom Netzvermittler nicht weitergeleitet werden, d. h., es soll eine Paketfilterung auf die Absenderadressen beim Einspeisen der Pakete in das Internet durchgeführt werden. Zwar ist IP-Spoofing innerhalb des erlaubten Adressbereichs der Organisation noch immer möglich, jedoch ist der Kreis der möglichen Verursacher auf die Organisation eingeschränkt. Ein normaler Heimzugang in das Internet hat nur eine einzige erlaubte IP-Adresse, so dass über solche Wählzugänge IP-Spoofing gar nicht mehr möglich wäre. Maßnahme 2: Einsatz von Paketfiltern bei Netzvermittlern Häufig sind Server nur über eine einzelne Netzverbindung an den Netzvermittler angebunden. Selbst wenn die Server widerstandfähig gegen DoS-Angriffe sind, so ist doch diese Netzverbindung selber in ihrer Kapazität beschränkt und kann von einem Angreifer vollständig ausgelastet werden, so dass die Server aus dem Internet nicht mehr erreichbar sind. Daher sollten Netzvermittler in Erwägung ziehen, die Netzanbindung der Serverbetreiber durch den Einsatz von Paketfiltern gegen DoS-Angriffe abzuschirmen, d. h. es soll eine Paketfilterung (auf Ports) beim Verlassen der Pakete aus dem Internet durchgeführt werden. Dies ist insbesondere dann sehr effektiv, wenn in Zusammenarbeit mit einem Angriffserkennungssystem beim Serverbetreiber der Paketfilter dynamisch an den jeweils laufenden Angriff angepasst werden kann. (Darüber hinaus kann der Netzvermittler in Absprache mit dem Serverbetreiber den Paketfilter auch so konfigurieren, dass Maßnahme 3 auch auf der Seite des Netzvermittlers ergänzt wird.) Maßnahmen für Serverbetreiber Die Rechner der Serverbetreiber kommen nicht nur als Opfer der DoS-Angriffe in Betracht. Wegen ihrer leistungsfähigen Anbindung an das Internet sind sie auch potentielle Ausgangsplattformen. Daher muss verhindert werden, dass diese Rechner als Ausgangspunkt für Angriffe auf weitere Rechner missbraucht werden. Maßnahme 3: Einsatz von Paketfiltern bei Serverbetreibern Server sollten im Normalfall nur wenige Dienste anbieten und entsprechend konfiguriert werden. Auf dem vorgeschalteten Router sollten Paketfilterregeln implementiert werden, die nur die zugehörigen Protokolle passieren lassen und beispielsweise sicherheitskritische Dienste oder gerichtete Broadcasts (RFC 2644) abblocken. Im Falle eines Angriffs können diese Router so umkonfiguriert werden, dass die Anfragen von verdächtigen einzelnen IP-Adressen oder -Adressbereichen abgewiesen werden. (Darüberhinaus sollte der Serverbetreiber den Paketfilter zusätzlich so konfigurieren, dass aus seinem Netz heraus IP-Spoofing nicht möglich ist und so die Maßnahme 1 unterstützt wird. Die dazu vorzunehmenden Einstellungen sind in den Systemverwalter-Handbüchern der Router beschrieben.) Maßnahme 4: Automatische Angriffserkennung DoS-Angriffe zeichnen sich normalerweise dadurch aus, dass sie Server anomal auslasten. Daher sollten typische Kennwerte (Speicherauslastung, Stacks, Netzauslastung, ...) ständig überwacht werden. Eine automatische Alarmierung ermöglicht dann, zeitnah Reaktionen einzuleiten (hostbasierte Angriffserkennung). Hierzu sind ggf. geeignete Zusatzprodukte heranzuziehen. Zusätzliche Informationen zu Intrusion Detection Systems finden sich beispielsweise unter http://www.bsi.bund.de/literat/studien/ids/ids-stud.htm. Maßnahme 5: Etablierung eines Notfallplans Im Falle eines Angriffs ist es von zentraler Bedeutung, schnell reagieren zu können. Nur so ist es möglich wirksame Gegenmaßnahmen einzuleiten, eventuell den Angreifer zu identifizieren und den Normalbetrieb innerhalb kurzer Zeit wieder herzustellen. In einem Notfallplan ist daher eine geeignete Eskalationsprozedur festzuschreiben. Notwendige Angaben sind dabei u. a. Ansprechpartner, Verantwortliche, alternative Kommunikationswege, Handlungsanweisungen und Lagerort möglicherweise benötigter Resourcen (z. B. Magnetbänder). Nähere Informationen zum Umgang mit Angriffen aus dem Internet finden sich unter http://www.bsi.de/literat/cebit99/angriff.htm. Maßnahme 6: Sichere Konfiguration der Server Die Server der Serverbetreiber können als Agenten eines DoS-Angriffs missbraucht werden. Der Angreifer installiert dazu unter Ausnutzung bekannter Schwachstellen Schadsoftware. Daher müssen die Betreiber der Server diese sorgfältig und sicher konfigurieren. Nicht benötigte Netzdienste sind zu deaktivierten und die benötigten abzusichern, ein hinreichender Passwort- und Zugriffsschutz sowie rechtzeitiges Ändern (insbesondere voreingestellter) Passwörter muss sichergestellt sein. Nähere Informationen finden sich unter http://www.bsi.bund.de/bsi-cert/webserv.htm. Maßnahme 7: Restriktive Rechtevergabe und Protokollierung Durch Manipulationen an Servern kann ein Angreifer diese als Agenten missbrauchen oder ihre Leistungsfähigkeit einschränken. Deshalb müssen alle Änderungen und alle Zugriffe auf den Server protokolliert werden. Es ist auf eine restriktive Vergabe von Zugriffsrechten der Nutzer, auf die zur Verfügung gestellten Systemressourcen und auf eine erhöhte Sorgfalt bei Konfigurationsänderungen zu achten. In regelmäßigen Abständen ist das Dateisystem auf Integrität zu überprüfen. Werden lediglich statische Daten benötigt, kann ein manipulationssicherer, schreibgeschützter Datenträger verwendet werden. Maßnahme 8: Einsatz von Open-Source-Produkten Für den Fall, dass Schwachstellen neu entdeckt werden, die einen DoS-Angriff ermöglichen oder erleichtern, ist es wichtig, dass diese schnell behoben werden können. Meist werden derartige Schwachstellen in Open-Source-Software wesentlich schneller behoben als in Produkten, deren Quellcode nicht veröffentlicht ist. Häufig können die Veränderungen im Quellcode sogar selbst durchgeführt werden. Daher sollten Open-Source-Produkte bei ähnlicher Leistungsfähigkeit bevorzugt werden (siehe http://linux.kbst.bund.de/). Maßnahmen für Inhalte-Anbieter Maßnahme 9: Auswahl geeigneter und IT-sicherheitsbewußter Serverbetreiber Die Inhalte-Anbieter sollten durch die Wahl ihres Serverbetreibers darauf hinwirken, dass dieser Sicherheit und Verfügbarkeit als zentrale Leistungsmerkmale ansieht. Daher sollten sie einen Serverbetreiber wählen, der entsprechende Erfahrungen mit den benötigten Internet-Plattformen vorweisen und seine Bemühungen im Bereich IT-Sicherheit nachweisen kann, z. B. durch ein IT-Sicherheitskonzept. Maßnahme 10: Vermeidung aktiver Inhalte Viele WWW-Seiten im Internet sind derzeit nur nutzbar, wenn in den Browsern aus Sicherheitssicht bedenkliche Einstellungen vorgenommen werden, die von einem Angreifer missbraucht werden können. Durch bewusste Vermeidung sicherheitskritischer Techniken (z. B. aktive Inhalte) können Inhalte-Anbieter dazu beitragen, dass auf den Clients keine unsicheren Einstellungen vorhanden sein müssen. Maßnahme 11: Tägliche Überprüfung von Dateien auf Viren und Angriffsprogrammen Viele Inhalte-Anbieter stellen auf ihren WWW-Seiten Programme und Dokumente zum Download bereit. Gelingt es einem Angreifer, dort ein trojanisches Pferd einzubringen, so kann er in kurzer Zeit auf eine große Verbreitung hoffen. Eine solche Vorgehensweise ist insbesondere bei DDoS-Angriffen für Angreifer verlockend, da dabei eine große Zahl von Rechnern für einen wirkungsvollen Angriff benötigt wird. Der Inhalte-Anbieter sollte deshalb täglich mit speziellen Suchprogrammen überprüfen, ob auf seinen Seiten Programme mit Schadenfunktionen (Viren, Trojanische Pferde, DoS-Programme, etc.) verfügbar sind (für die Suche nach DDoS-Programmen siehe z. B. http://foia.fbi.gov/nipc/trinoo.htm). Maßnahmen für Endanwender Rechner der Endanwender sind im Normalfall nicht Ziel von DoS-Angriffen. Allerdings können diese Rechner dazu benutzt werden, dass ein Angreifer in einem ersten Schritt Programme auf ihnen installiert, die dann ferngesteuert einen DoS-Angriff auf beliebige Rechner ermöglichen. Daher können auch Endanwender einen Beitrag zum Schutz vor DoS-Angriffen leisten. Maßnahme 12: Schutz vor Schadprogrammen Rechner von Endanwendern können als Agenten für Angriffe missbraucht werden. Am leichtesten lassen sich solche Agenten über Viren, trojanische Pferde oder durch aktive Inhalte (insbesondere ActiveX) auf die einzelnen Rechner installieren. Daher ist ein zuverlässiger und aktueller Virenschutz und das Abschalten aktiver Inhalte im Browser dringend anzuraten. Ggf. kann auch der Einsatz von Hilfsprogrammen zum Online-Schutz des Clients (beispielsweise PC-Firewalls) erwogen werden. Weitere Empfehlungen werden auf den WWW-Seiten des BSI (http://www.bsi.bund.de) und der Initiative Sicherheit im Internet (http://www.sicherheit-im-internet.de) gegeben. Maßnahmen für alle Zielgruppen Die hier empfohlenen Maßnahmen sind Standardmaßnahmen (vgl. http://www.bsi.de/literat/doc/fuhrberg.htm). Die Praxis zeigt jedoch, dass sie aus unterschiedlichen Gründen häufig nicht umgesetzt werden. Maßnahme 13: IT-Grundschutz für Rechner mit Internet-Anschluss Rechner, die über einen Internet-Anschluss verfügen, sollten durch konsequente Umsetzungen der IT-Grundschutzmaßnahmen aus den Kapiteln 6.1, 6.2 und 6.4 für vernetzte Unix-Systeme bzw. Windows NT des IT-Grundschutzhandbuchs ein angemessenes Sicherheitsniveau erreichen. Damit ist gewährleistet, dass typischen Gefährdungen entgegengewirkt wird. Das IT-Grundschutzhandbuch kann unter (http://www.bsi.bund.de/gshb) eingesehen und unter (gshb@bsi.de) kostenlos auf CD-ROM bezogen werden. Maßnahme 14: Zeitnahes Einspielen von Sicherheits-Updates Immer wieder werden neue sicherheitsrelevante Schwachstellen in den Betriebssystemen und der Serversoftware entdeckt, die wenig später durch Updates (Patches) der Hersteller behoben werden. Um möglichst zeitnah reagieren zu können, ist es notwendig, die Mailinglisten des Computer Emergency Response Teams (CERT) unter http://www.cert.org und der Hersteller zu abonnieren und auszuwerten. Die relevanten Updates sind schnellst möglich einzuspielen, um die bekannt gewordenen Schwachstellen zu beheben. Maßnahme 15: Tool-Einsatz und Schulung der Mitarbeiter Um einen Rechner vor Risiken und Gefahren zu schützen, ist z. T. erhebliches Know-How zur Erarbeitung einer effektiven IT-Sicherheitskonfiguration notwendig. Administratoren müssen daher ausreichend aus- und weitergebildet werden. Zur Unterstützung der Administrationsaufgaben sollten zudem Sicherheits-Tools herangezogen werden. Besonders geeignet ist hier das BSI-Tool USEIT (im Internet unter http://www.bsi.bund.de/aufgaben/projekte/useitool/useit.htm), das es ermöglicht, Schwachstellen in der Installation und Konfiguration von Unix-Rechnern zu finden." Die Formulierungen sind u.a. Sch**ße, aber die Tips an sich sind (aus meiner Sicht her) garnicht mal so schlecht. Wenn man begreift, was die netten Leutz da mit ihrem "Beamtendeutsch" ausdrücken wollen, dann ist das sicher von Vorteil. :[ 04.03 Spoofing ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch verschiedene mehr oder weniger aufwendige und brauchbare Methoden des "Spoofens" zeigen und Euch natürlich erklären was das ist. -04.03.01 Bedeutung- "Spoofing" bedeutet nichts anderes als "etwas verfälschen", "etwas imitieren" oder "etwas verändern". Wenn ich z.B. einen Brief mit "Dein Onkel Klaus" unterschreibe, dann spoofe ich den Autor. Das war's vereinfach dargestellt. -04.03.02 Referer Spoofing- Beim "Referer Spoofing" findet man die URL bzw. den Referer heraus und "nimmt ihn an". Nun mag das nicht besonders aufregend klingen, aber es bietet schöne Möglichkeiten: Wenn man z.B. einen Benutzer eines Web-Mail Accounts eine URL zu einem Server schickt bei dem man Zugriff auf die Logs hat und der jenige tatsächlich die URL aufruft während er in seinem Web-mail Account eingeloggt ist, dann kann man seinen Referer bzw. die URl von der er kommt aus den LOG Files lesen. Wenn man nun diese URl "anwählt" dann ist man (heute geht das noch bei den meisten) als der Benutzer dem der Web-Mail account gehört eingeloggt und hatdie selben Rechte wie dieser. So kann man dann z.B. das Passwort verändern, dessen eMails lesen oder seinen Account löschen. -04.03.03 eMail Spoofing- Das "eMail Spoofing" ist wohl die simpelste und älteste Methode des Spoofens im Cyberspace. Man loggt sich per Telnet in einen SMTP Server auf Port 21 um eine eMails zu versenden. Dann gibt man statt dem richtigem Absender einen gefälschten an. Das könnte z.B. so aussehen(nach jeder Zeile Enter drücken): helo world mail from: onkelklaus@gmx.de rcpt to: tantejutta@yahoo.de data Hallo Jutta. Ich hasse dich total! Ich werde dich umbringen und dann in den See werfen... CU Onkel Klaus . Der "." dient dazu dem SMTP Server zu sagen, das man fertig ist und er die eMail abschicken kann. So nun bekommt "Tante Jutta" einen bösen Schreck und denk das der ach noch so böse "Onkel Klaus" sie umbringen will 8-) -04.03.04 Provider Faking- Wie schon oben erwähnt ist das Provider Faken nichts anderes als das Anmelden bei einem ISP mit gespooften oder fiktiven Daten. :[ 04.04 Sniffing ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch nur erklären was "Sniffing" ist. Man kann quasi alle Daten die es gibt sniffen. -04.04.01 Bedeutung- "Sniffing" bedeutet nichts anderes als "etwas herausfinden". Deshalb wäre es quatsch Beispiele dafür anzugeben. Man kann so ziemlich alle Daten im eines Hosts der mit dem Netzverbunden ist "sniffen". :[ 04.05 BruteForce & Dictionary Attacken ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch nur erklären was "BruteForce" und was ein "Dictionary" Angriff ist. Ausserdem wird's ne kleinere Analyse zum BrutueForce und Dictionary Attack Programm "Brutus" geben. Have Fun! -04.05.01 Unterschiede?- Ein "Dictionary Attack" funktioniert wie folgt: Man gibt in ein Programm den Usernamen eines Service (meist FTP pder HT Access) ein, oder wenn man keinen Username hat, dann nimt man eine Wordlist(Auflistung vieler verschiedener Wörter). Nun gibt man in das selbe Programm bei "Passwordfile" oder "Passfile" eine grosse Wordlist an. Man klickt auf "ok", "Start" oder etwas in der Richtung und das Programm versucht sich mit allen Wörtern der Wordlist(en) in den Service einzuloggen. Wenn ein Versuch erfolgreich war, dann wird dem Benutzer das Login angezeigt. Ein "BruteForce Attack" funktioniert wie folgt: Man gibt in ein Programm den Usernamen eines Service (meist FTP pder HT Access) ein, oder wenn man keinen Username hat, dann nimt man eine Wordlist(Auflistung vieler verschiedener Wörter). Nun versucht das selbe Programm sich mit allen möglcihen Wörtern, Wortkombinationen, Zahlenkombinationen etc.in den Service einzuloggen. Wenn ein Versuch erfolgreich war, dann wird dem Benutzer das Login angezeigt. Merksätze *g*: BruteForce Angriffe dauern sehr lange, weil alle Kombinationen probiert werden. Dictionary Angriffe dauern vergleichsweise nicht lange, da nur wahrscheinliche Kobinationen probiert werden. -Analyse zu Brutus- Brutus versus Unsecure Lange Zeiten war Unsecure von Utah das Ultimo der Web basierenden Passwort Cracker für Windows. Das änderte sich mit Brutus von Hoobie! Im folgenden ist eine kleine "Gegenüberstellung" Brutus-Unsecure. Einsatzmöglichkeiten Brutus ist unabhängig und kann individuel eingestellt und durch z.B. *.BAD Dateien erweitert werden. Wenn das nicht genügt, kannn man selbst *.BAD Dateien anlegen. Unsecure hingegen ist nur für FTP (port 21) zu gebrauchen. Sicher, man kann den Port verändern, aber dann kommt meißt 'ne Fehlermeldung oder es läuft einfach nicht wie es soll. Geschwindigkeit Der Speed ist, da Unsecure nur eine Verbindung zu Host aufbauen kann wohl das größte Manko. Bei Brutus kann man einstellen wieviele Verbindungen es aufbauen soll (1-60) und welches Timeout (1-60) es benutzen soll. Dadurch kann man viel mehr Attemps(Passwortkombinationen) pro Sekunde schaffen. Mein aktueller "Rekord" liegt bei 81 attemps per second und wurde bei einem HT Access Schutz ereicht(45C-20T). Verbindung Unsecure hat die Funktion "Reconnect on Disconnect", welche den PC wieder ins Netzwerk einwählen lässt. Dies ist eine Funktion, die ich bei Brutus in der momentanen AET2er Version stark vermiße. Brutus lässt momentan nur seinen "connection throttle back" oder "connection reject" error indicator leuchten. bSoD Bei Unsecure (v1.2) sieht man den bSoD (blue Screen of Death) eher selten. Ich benutze Unsecure ca. 1 Jahr lang und sah ihn höchstens 2 oder 3 mal. Wobei man ihn hingegen in Brutus (aet2) öfters zu sehen bekommt. Mit öfters meine ich ca. alle 15-30 Stunden. HT Access Hier wird nur stichpunktartig erklärt wie man HT Access mit Brutus "hackt". Target: www.WebSite.de/geschuetzt/ Type: HTTP (Basic Auth) Port: 80 oder 8080 Connections: 20-40 Timeout: ca 20-60 Method: HEAD KeepAlive: True Use Username: True Single User: True (wenn du einen Usernmae hast) User File: (wenn du keinen hast eine Wordlist nehmen) Pass Mode: Word List Pass File: grössere Wordlist Wer will kann noch 'n anony Proxy dazwischen schalten und/oder über 'n Fake/Real reingehen. FTP Zugänge Hier wird wieder nur stichpunktartig erklärt wie man FTP Zugänge mit Brutus "hackt". Target: ftp.tripod.de Type: FTP Port: 21 Connections: 20-35 Timeout: ca 25-60 Try to stay connected for: True (3 attemps) Use Username: True Single User: True (wenn du einen Usernmae hast) User File: (wenn du keinen hast eine Wordlist nehmen) Pass Mode: Word List Pass File: grössere Wordlist Wer will kann noch 'n anony Proxy dazwischen schalten und/oder über 'n Fake/Real reingehen. POP3 Accounts Hier wird schon wieder nur stichpunktartig erklärt wie man POP3 Accounts mit Brutus "hackt". Target: pop3.web.de Type: FTP Port: 110 Connections: 15-30 Timeout: ca 30-60 Try to stay connected for: True (3 attemps) Use Username: True Single User: True (wenn du einen Usernmae hast) User File: (wenn du keinen hast eine Wordlist nehmen) Pass Mode: Word List Pass File: grössere Wordlist Wer will kann noch 'n anony Proxy dazwischen schalten und/oder über 'n Fake/Real reingehen. Telnet Hier wird auch wieder nur stichpunktartig erklärt wie man sich 'n Account für Telnet-Sessions mit Brutus "hackt". Target: 127.0.0.1 Type: FTP Port: 110 Connections: 15-30 Timeout: ca 30-60 Try to stay connected for: True (3 attemps) Use Username: True Single User: True (wenn du einen Usernmae hast) User File: (wenn du keinen hast eine Wordlist nehmen) Pass Mode: Word List Pass File: grössere Wordlist Wer will kann noch 'n anony Proxy dazwischen schalten und/oder über 'n Fake/Real reingehen. Bugs'n'Holes Brutus ist ein sehr gutes Programm, das leider auch ein paar kleinere Macken hat. Aber euch Windows-Usern dürfte das ja nicht alzu dolle stören 8-] Diese Bugs oder Lücken sind mir bislang aufgefallen: Verbindung Brutus hat in der momentanen AET2er Version leider noch keine automatische "reconnect on disconnect" Funktion. Brutus lässt momentan nur seinen "connection throttle back" oder "connection reject" error indicator leuchten. Das ist überaus noch ausbaufähig... bSoD Wegen Brutus taucht in der Regel öfters mal der bSoD (blue Screen of Death) auf. Mit öfters ist so alle 15-30 Stunden gemeint. Worldlist Tools Beim den in Brutus integrierten Wordlist Tools kann man den "duplicate Remover" nicht benutzen. Ressourcen Brutus *.BAD Files und Brutus selber findet Ihr auf der Site des Programmierers "Hoobie". Bald soll es auch eine Linux Version des momentan in Delphi programmierten Brutus geben, die mit Kylix programmiert wird. http://www.hoobie.net/brutus Texte zum "Hacken" mit Brutus, Unsecure - HT Access und sonstiges gibt's auf der Site des Autors. http://www.nerd-treff.de Zusammenfassung Brutus ist ein - im Vergleich - sehr schnelles Programm das wenig Platz auf dem Rechner verbraucht. Es hat zahlreiche Einstellungsmöglichkeiten, so das man es bis ins kleinste Detail individualisieren kann. Seine Technik ist relativ ausgereift und man sollte es wirklich haben! Ich bin auf die 3er Version gespannt und ob dann die "bSoD's" verschwunden sind und es eine RCODC Funktion hat. :[ 04.06 Exploits ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch nur erklären was "Exploits" sind und nd woher man sie bekommt. -04.06.01 Was sind Exploits?- Exploits sind kleine Programme/Scripts die normalerweise inC" bzw. "C++" für Unix bzw. Linux programmiert wurden. Diese Programme nutzen Bugs(Fehler) auf Servern aus und verschaffen dem Anwender somit diverse sicherheitsrelevante Möglichkeiten, die er sonst nicht hätte. -04.06.02 Woher bekommen?- Man findet zahlreiche Exploits auf einschlägigen Szeneseiten wie z.B. www.dslabs.orgoder rootshell.com . :[ 04.07 HTML Bugs ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch nur 2 Bugs zeigen, die besonders erschreckend sind, da sie kein Java-Script benötigen, sondern aus reinem HTML bestehen. Beide Bugs wurden vom Sneeks Team (www.sneeks.de) entdeckt. -04.07.01 Netscape's HTML Bug- "Auch der Netscape Navigator 4.7 ist von einem schwerwiegendem Bug betroffen, der so machen User in die Knie zwingen kann. Ein Fehler in der CSS-Routine belastet den Browser so, das er schwer abstürzt. Kombiniert man etwas CSS mit einer Tabelle und anderen Kleinigkeiten, so erhält man einen wirklich verwunderlichen Bug. Ein Script das wirklich nicht "gefährlich" aussieht, nutzt beim Netscape Navigator einen sonderlichen Fehler aus, der das System zum Crash bringt. Dies ganze könnte z.B. so aussehen:
sneeks
2000
Das dramatische an diesem Bug ist, dass er auf reinem HTML basiert und weder ActiveX noch Java braucht, was jedem klarmachen sollte, was für eine Sicherheitslücke dies darstellt." -04.07.02 IE's HTML Bug- "Anscheinend war es den Programmieren des IE 5.0 nicht klar, das man seine Programme vor ungültigen Angaben und kleineren Überläufen schützen muss und für einige Eigenschaften Grenzen setzen muss. Der Fehler ist wirklich simpel und hätte mit Leichtigkeit behoben werden können, aber wozu das ganze? Macht man doch einfach den User zum Beta-Tester! Der Bug wird ganz einfach durch eine zu große Eingabe ausgenutzt und bringt dabei den IE 5.0 zum sicheren Absturz. Das einzige, was man machen muss, um den IE 5.0 durch diesen Bug abstürzen zu lassen ist, ein zu großes/langes Eingabefeld, das in einer Tabelle enthalten ist, in seine HTML-Datei einzufügen. Dieses verkraftet der Browser dann anscheinend nicht und muss sich dem Bug ergeben. Dies ganze könnte z.B. so aussehen:
Das dramatische an diesem Bug ist, dass er auf reinem HTML basiert und weder ActiveX noch Java braucht, was jedem klarmachen sollte, was für eine Sicherheitslücke dies darstellt." :[ 04.08 eMail Bomben ]: In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch 3 verschiedene Varianten der "eMail Bombe" zeigen. -04.08.01 Mass Mailing- Das "Mass Mailing" dürfte die verbreitetste Methode sein. Man saugt sich einen eMail Bomber aus dem Netz und gibt die Daten ein. (gespoofter Absender, Empfänger, Text, Betreff, Menge, Mailserver) Nun klickt man auf "bomb" oder einen Ähnlichen Button und wartet (online) bis die eMails versendet wurden. -04.08.02 HTML Bomb- Eine wahre HTML Bombe erhählt man wenn man die in 04.07.01 und 04.07.02 beschriebenen HTML Bugs in einer eMail (HTML Format) kombiniert. Dadurch kann das System des Betrachters craschen. -04.08.03 eMail Relaying- Meldet euch bei 5 verschiedenen Webpostfach-Anbietern mit der Möglichkeit der Email Weiterleitung gefaked an. Es wäre nicht schlecht, wenn eines dieser Postfächer einen Auto-Re-Sponder hätte...(besser gesagt, eins davon muss einen Auto-Re-Sponder haben ! (Web.de ist nicht so gut, da man dort einen Aktivator-Key eingeben muß, der per Post gesendet wird - ihr also eure echten Daten angeben müsstet) Jetzt, nach dem ihr euch da angemeldet habt müsst ihr bei Postfach 1 eine permanente Weiterleitung zu Postfach 2 herstellen. Bei Postfach 2 stellt ihr eine permanente Weiterleitung zu Postfach 3 her. Bei 3 eine zu 4 und bei 4 eine zu 5. Bei 5 eine zu 1. Dadurch entsteht ein Mail-Loop (Mailschleife). Das ist ja nun ganz schön und gut, aber was nun ? Bei dem einen Postfach mit Auto-Re-Sponder Funktion aktiviert Ihr die halt und gebt einen Text ein. Da es eine Mailschlaufe ist wird diese Mail immer und immer wieder (bis der Account gesperrt wird) bei dem Postfächern eintreffen. Also auch bei dem mit Auto-Re-Sponder. Wenn jemend z.B. per Outlook & Co eine Mail an eines der beiden Postfächer sendet, dann wird er durch die ganzen Auto-Re-Sponders zugebombt *g* Wie kann man das jetzt aber nutzen um jemaden zu zubomben ? Na ganz einfach : Man spooft eine Email via Telnet und gibt als angeblichen Absender die Adresse der Person, die zugebombt werden soll ein. Das ganze kann man mit mehreren Personen machen, falls man das Spoofen mit Telnet nicht beherrscht kann man ja auch nen Anonymous-Mailer nehmen. Worin liegen die Vorteile gegenüber des 'normalen' SMTP-Floodens ? --> 1. Beim "eMail Relaying" muß man nicht die ganze Zeit online sein während man bombt (spart Zeit). --> 2. Man kann mehrere Personen zugleich bomben. (bei vielen Mailbombern nicht möglich,selbst wenn möglich wäre die Geschwindigkeit viel niedriger) --> 3. Es geht oft schneller als die herkömmliche Methode. --> 4. Dadurch das es bombt bis ein Account gesperrt ist kommen bei dem/n Empfänger/n viel, viel mehr Mails an, als wenn man z.B. einmal jemanden 3 Stunden lang zubombt. Hier noch 'n kleines ASCII GFX das die Abrbeitsweise verdeutlichen soll(hier hat #5 den Auto Re-Sponder): Forwarder (Endlos-Schleife) --------<-------------<-------------------<-------------<------------<---------- / \ | | \ ___ ___ ___ ___ ___ / --->-- | | Forwarder | | Forwarder | | Forwarder | | Forwarder | | -->- | 1 | --------> | 2 | --------> | 3 | --------> | 4 | --------> | 5 | --> |___| |___| |___| |___| |___| ----->-- / \ | | | | | | | | | | | _______ | \ 1ne gespoofter eMail | | Enloses zubomben durch den Auto-Responder / ---<---------<-------<----- | Opfer | ---<-----------<---------<-----------<------- |_______| :[ 04.09 Sonstige ] In diesem Unterkapitel von "04 Angriff & Verteidigung" möchte ich Euch nur 2 Active-X Sicherheitslücken und eine paar Tips präsentieren. -04.11.01 Active-X Hack- Die Story ist schnell erzählt. Frau Ehles vom MDR, Sendung PlusMinus, fragte des CCC, ob es möglich wäre pressewirksam Geld zu "klauen". Nach der Idee mit ActiveX zu arbeiten war das schnell geschafft. Der CCC entwickelte ein Programm/Script das durch das einfache "betrachten" einer InternetSeite Geld auf ein Konto überweißt. Dieses Script funktioniert nur beim IE. Daran kann man erkennen das MicroSoft die grösste und schwerwiegendste Bugsammlung der Welt "zur Verfügung stellt" 8-) Weitere Info's zum Thema "MicroSoft Attacks" bzw. "radioactive-x" gibt's auf http://www.ccc.de/radioactivex.html -04.11.02 Active-X & HTML Trojaner?- Das wollte ich euch nicht vorenthalten! Findige Nerds haben eine Methode entwickelt, die einen Trojaner durch das einfache "betrachten" einer Internetseite installiert und aussführt. Es ist nicht einmal ein Download nötig, da der Trojaner per Maschinen Code und Active-X erstellt wird. Diese Methode funktioniert allerdings nur mit dem IE. Hier könnt Ihr Euch das FIle saugen: http://www.loginclub.org/library/programme/other/godmessage.zip Das File Stammtvom LogInClub (LIC). Das Passwort des ZIP Archives ist "www.loginclub.org". -04.11.02 Sicherheits-Tips- Hier gibt's nichts besonderes, sondern nur ein paar kleine Sicherheits-Tips... 1. Immer eine Firewall benutzen! In den meisten Linux Distributionen ist eine mit Quelltext integriet. Eine sehr gute Firewall für Windows ist @Guard, die Ihr Euch u.a. von www.dslabs.org saugen könnt. 2. VirenScanner sin eins muß! Nun gut. Für Linux gibt es kaum Viren, also vergesstes, Ihr Linux User 8-) Aber für Windows gibt's ja nun genug. Ich empfehle AVP(das gibt's auch für Linux), das man auf der gut sortierten Warez Site Ihres Vertrauens erhählt 8-) 3. *.VBS Dateien niemals aktivieren! Hinter VBS verbirgt sich Visual Basic Script, mit dieser Programmiersprache wurden z.B. Melissa & Loveletter programmiert. 4. Keine Active-X Elemente im Netz ausführen. Das ist schon wieder nur was für die Windows User, da Windows einfach die meisten Sicherheitslücken aufweist. Also stellt bei eurem Brwoser Active X auf AUS (besonders wenn der Browser IE heisst). -<=:[ 05 The End ]:=>- Ein weiteres meiner Tuts ist am Ende angekommen. Wenn Ihr wollt, dann könnt Ihr euch noch die Greets, Flames und das Schlußwort reinziehen. :[ 05.01 Schlußwort ]: Mit diesem, doch etwas grösserem Tut möchte ich mich zumindest teilweise aus der Hacking Szene zurückziehen. Aber: Einmal Freak - Immer Freak!!! Ich werde mich wieder intensiver dem Programmieren, meiner wahren Leidenschaft zuwenden. Nun noch das obligatorische "Ich hoffe, das ich Euch zumindest etwas helfen konnte" und aus 8-) :[ 05.02 Greets ]: Greets fly out to the following nerds: Genius-B my great delphi mentor Hackbustard something like my "software courier" time warner something like my "personal searchengine" 8-) Modemhunter a friendly cracker Data Flasher god of gfxing Burner98 an other gfx god Gloodynox just a crazy freak Stackdeath he probably has a great future in the hacking scene darkViper the same like Stackdeath TomParis the first newbee I know that isn't lame... yath born with a keyboard on one hand and a cigarret in the other (like me *g*) XAD7 friend and really active promoter of my sites and all the others I have forget... :[ 05.03 Flames ]: The worsest flames fly out and hit the following "§!!§$#*+" : McChaos +------------------------------------------+ |+----------------------------------------+| ||+--------------------------------------+|| |||+-------------+----------------------+||| |||| MfG | plazmoid@NerdSoft.de |||| |||| | 71339367 |||| |||| plazmoid | |||| |||| | Admin of NerdSoft.de |||| |||+-------------+----------------------+||| ||+--------------------------------------+|| |+----------------------------------------+| +------------------------------------------+ It's the Code that is, the Code that was and the Code that ever will be...