99 (c)1999Frank emailprotected@rus
Dieser Report ist in zweierlei Hinsicht hilfreich. Er soll Menschen, die ihr Passwort verloren haben, die Mglichkeit geben, es durch Anwendung einfacher Techniken ohne lange Wartezeiten zurckzubekommen und Besitzern von Websites mit geschtztem Inhalt ermglichen, diese Inhalte zu schtzen.
Webmaster, die die in diesem Report beschriebenen Techniken kennen, haben wesentlich bessere Aussichten, Ihre Website sicher gegen Eindringlinge zu schtzen.
Hacker's Black Book C copyright 1998,1999 Walter Vll
http://zaehlwerk.
de/banner/secure/ befindet sich der Mitgliedsbereich zu diesem Report. Dort finden Sie Utilities und Tools, um die in diesem Report beschriebenen Techniken nachzuarbeiten.Bilder nicht in geschtzten Verzeichnissen
Trojanische Pferde - NetBus und BackOrifice
Die einfachste Art von Passwortschutzsystemen ist der sogenannte JavaSeript-Schutz. Dabei wird der Benutzer beim Betreten einer Seite oder beim Anklicken eines bestimmten Links dazu aufgefordert ein Passwort einzugeben. Diese Art von Schutz ist sehr einfach und bietet nur ein Minumum an Schutz.
Beim Betrachten des HTML-Quellcodes der Seite findet sich dann oftmals ein JavaScript-Code hnlich dem folgenden:
*head**title* Website-Titel */title* *script**P*
pass=prompt("Enter your password","password");
document.location.href=http://protectedserver.com/index.html;
Wie man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine angegebene URL gesprungen. Nun sieht man, wie das Passwort zu heien hat und kann es einfach eingeben oder direkt die Ziel-URL whlen.
Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise knnte die geheime Ziel-URL http://members.protectedserver.com/members/hu8621s.htm, das Passwort"hu862ls" wrde als Teil der URL kodiert. Die entsprechende Schutz-Funktion im HTML-Code der Seite she dann folgendermaen aus:
pass=prompt ("Enter your password","password");
document.
location.href="http.//members.Proteetedserver.
com/members/
Hier besteht mehr Schutz als in der ersten Variante, allerdings sind die Verzeichnisse mittels des HTTP-Servers oft nicht gegen unerlaubtes listen des Verzeichnisses geschtzt. Whlt man mittels des Browsers die URL http//members.protectedserver.com/members/ direkt in den Browser, so erhlt man oftmals eine Auflistung aller HTML-Seiten in diesem Verzeichnis, also auch die Seite, die ber den JavaScript- Passwortschutz angesprungen wird.
Fast alle heute eingesetzten Webserver beherrschen den sogenannten HTACCESS-Passwortschutz. Zuerst wurde er vom Apache- Webserver eingesetzt, mittlerweile sind jedoch viele andere Webserver zum HTACCESS-Standard kompatibel. Daher wird er auch sehr hufig von sogenannten Paysites eingesetzt. Z.
B. die Websites www.playgal.com oder www.hotsex.
com setzen diesen Schutzmechanismus ein.Eine Website, die HTACCESS einsetzt, ist daran zu erkennen, da bei betreten des Mitgliedsbereichs ein Popup-Dialog erscheint (NICHT JavaScript-generiert), der folgender maen aussieht:
Um die Arbeitsweise dieses Schutzes zu verstehen, sollte man einige Gmndlagen des Unix-Betriebssystems kennen. Unter Unix (bzw. Linux, BSD etc.
) und auch unter Windows-Webservem wie dem Microsoft IIS sind die HTML-Dokumente wie auch bei einem normalen PC hierarchisch in Verzeichnisstrukturen angeordnet und abgelegt. Man spricht hier insbesondere von einer"Baumstruktur". Die Wurzel des Baumes (engl. "Root") ist die Domain selber ohne weitere Informationen. Zum Beispiel www.
ibm.com ist die Domain und diese ist das Root der Verzeichnisstruktur. Wenn in dem Verzeichnis "secure" nun die zu schtzenden HTML- Dokumente und Grafiken liegen wrden, so mte in diesem Verzeichnis nun ein HTACCESS-File abgelegt werden. Das File mu den Namen ".htaccess" (mit Punkt davor) tragen. Das HTACCESS- File legt fest in welcher Datei die Passwrter liegen und auf welche Art das Verzeichnis zu schtzen ist.
Das HTACCESS-File sieht folgendermaen aus:
AuthUserFile /usr/home/myhomedir/passes
Diese HTACCESS-Datei legt fest, da das Passwortfile die Datei lusr/homelmybomedir/passes auf dem Server ist. Sinnvoller Weise sollte die Passwort-Datei nicht im Bereich der HTML-Dokurnente liegen, also nicht via WWW zugehbar sein. Die Optionen "AuthName" gibt an, welche Bezeichnung im PopUp-Dialog erscheinen soll (im Dialog oben beispielsweise "playgal").
Das interessante am HTACCESS-Schutz ist, da durch das HTACCESS-File auch alle Unterverzeichnisse unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei befindet, mitgeschtzt sind. Und dies bis zu einer beliebigen Tiefe.
In unserem Beispiel knnte man also unterhalb des Verzeichnisses "secure" beliebig viele weitere Verzeichnisse anlegen. Diese waren alle geschtzt.
Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine beispielhafte Passwort-Datei:
robert:$1$4A$JRL0VdCRzYtbpekrLBYzl/
manfred:$1$30$ddEyRldHykHUo654KE01i/
Fr jedes Mitglied enthlt die Passwortdatei eine Zeile, die aus zwei Teilen besteht, die durch einen Doppelpunkt getrennt sind. Der erste Teil ist der Login-Name, der zweite Teil enthlt das Passwort in verschlsselter Form. Diese Verschlsselung ist sehr sicher.
Sie ist maschinenspezifisch. Das heit, da selbst wenn man diese Passwortdatei in die Finger bekommen wrde, knnte man aus den verschlsselten Passwrtern nicht die wirklichen Passwrter zurckberechnen. Bei der Passworteingabe wird das Passwort durch die Unix-Systemfunktion"crypt(" kodiert und mit dem in der Passwortdatei abgelegten verschlsselten Passwort verglichen. Ist es gleich, so ist der Login OK.
)
Wie man also erkennen kann, ist es sehr schwierig, in Websites, die mittels HTACCESS geschtzt sind, zu gelangen. Allerdings sind manche Webmaster einfach zu dumm, den HTACCESS Schutz richtig einzusetzen, und bieten so dem Angreifer einige Mglichkeiten.Ein schwaches Passwort ist ein Passwort, da leicht erraten werden kann. Hier einige der am hufigsten eingesetzten Username/Password Kombinationen:
asdf/asdf 123456/123456 *censored*/me
qwertz/qwertz qwerty/qwerty qlw2e3 abc123
Besonders die groen Pay-Websites, die einige tausend Mitglieder haben, ist es sehr wahrscheinlich, da solche "schwachen" Passwrter dabei sind.
Auerdem mu man sich vorstellen, da einige Mitglieder in vielen verschiedenen Websites Mitglied sind und sich nicht alle mglichen Passwrter merken wollen.
Daher wird auch oft der Name der jeweiligen Website von den Mitgliedern als Passwort gewhlt.
www.hotsex.com: username: hot, password: sex
www.hotbabes.
com: username: hot, password: babes
Oder die Mitglieder benutzen einfach nur ihren Namen. Dabei sind natrlich die am hufigsten vorkommenden Namen besonders interessant:
john/smith john/john miller/miller rick/rick frank/frank
und weitere mehr. Im Deutschen sind natrlich andere Namen interessanter.Der einfach zu merkende Login bestehend aus "username/password", so wie er auch irn Passwort-Dialog gefragt wird, kommt auch hufig vor.
Das schwchste von allen Passwrtern ist allerdings das sogenannte "ENTER" - Passwort.
Dabei mu beim Erscheinen des Passwort- Dialogs einfach besttigt werden, ohne berhaupt etwas einzugeben Hat nmlich der Webmaster beim Erzeugen neuer Mitglieds-Daten einfach ohne eingabe irgendwelchen Daten aus versehen einmal unbemerkt sein Toot gestartet, so befindet sich im Passwort-File ein eben solcher"leerer" Eintrag.
An den engagierten Webmaster richten sich folgende Sicherheitstips:
oDas Erzeugen "leerer" Passwrter verhindern und kontrollieren
oDie Mitglieder nicht die Passwrter selber whlen lassen, sondern eines per Zufallgenerieren (z.b. "kd823joq")
oFalls die Kunden Ihre Username/Password-Kombination selber whlen drfen, nicht zulassen, da der Username gleich dem Passwort ist.
oDirektes Hacken der Passwort-Datei
oNormalerweise sollte es nicht mglich sein, an das Passwort-File zu gelangen. In einigen Fallen ist es jedoch mglich, daran zu kommen, und zwar in folgenden Fallen:
Normalerweise sollte es nicht mglich sein, an das Passwort-File zu gelangen.In einigen Fallen ist es jedoch mglich, daran zu kommen, und zwar in folgenden Fallen:
Die Passwort-Datei liegt im public html-Bereich des Webservers, also in den Verzeichnissen, in denen auch die via WWW zugnglichen HTML-Dokumente liegen.
Auf dem Webserver haben viele User einen eigenen virtuellen Webserver
Der zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver bei einem groen Webspaceprovider mietet, der auf einem Rechner viele weitere Webserver betreibt (z.B.
www.webspace- service.de, www.webspace-discount.
de, www.simplenet.com etc.) Dann ist es mglich, an die Passwortdatei zu kommen, falls man auf dem gleichen Rechner einen Account hat und die Passwortdatei ffentlich lesbar ist. Dann kann man mittels FTP oder TELNET in das Verzeichnis wechseln, indem derjenige seine Passwortdatei aufbewahrt und diese lesen. Mittels eines Brute-Foree-Passwort- Crackers wie "Crack V5.
O" lassen sich dann die Passwrter zurckberechnen. Das Programm braucht allerdings oft viele Stunden dazu und es fhrt nicht immer zum Erfolg.
Fr einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem Webserver betreiben, den er sich mit anderen Websites teilen mu.
Viele Webmaster der Paysites haben einen sogenannten "Admin- Bereich", der nur fr sie selber gedacht ist. Dort erzeugen Sie neue Passwrter oder lschen alte Passwrter etc. Oft liegen diese Admin-Bereiche jedoch nicht in einem Passwortgeschtzten Bereich.
Die Webmaster denken nmlich, es wrde ja keiner die URL ihres Admin-Tools kennen. Aber die URL ist manchmal einfach zu erraten. Oft heit die URL
Man sollte auch weitere Namensmglichkeiten austesten. Denn gelingt es, an die Admin-Seite zu kommen, so ist man natrlich am allerbesten bedient: Man kann selber so viele neue Passwrter hinzufugen, wie man mchte!
Unter "Phreaken" versteht man den einsatz von falschen Informationen, um sich bei einer Paysite als neues Mitglied zu registrieren. Das ist natrlich verboten und diese Hinweise hier sollen in erster Linie den Webmastem dienen, damit sie sich vor solchem Mibrauch schtzen knnen.
Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die Mitgliedschaft online via Kreditkarte bezahlt wird und danach sofortiger Zugang erteilt wird.
Phreaker benutzen dazu einen anonymen lnternetzugang. Dazu wird oft der Test-Zugang von AOL mibraucht. Test-Mitgliedschaften finden sich nahezu in jeder Computerzeitung. Aber auch okay.net bietet sofortigen Zugang nach Angabe aller Daten. Dabei meldet man sich mit Phantasienamen und irgendeiner Kontoverbindung an, die man aus irgendeiner Rechnung oder sonstwo her kennt.
Schon ist man einen Monat lang anonym via AOL oder okay.net im Internet unterwegs.
Desweiteren bentigt man eine "gltige" Kreditkarten-Nummer (vorzugsweise VISA oder Mastercard - in Deutschland Eurocard). An diese zu kommen, ist schon etwas schwieriger. Eine gngige Methode ist es, einen sogenannten "Credit-Card-Generator" wie z.b.
"Credit Wizard" oder"Cardpro" oder"Creditmaster" einzusetzen. Ein Suchen mittels "metacrawler.com" und den Begriffen "Credit Card Generator" o.. bringt oft schon die gewnschten Programme.
Dazu sollte man wissen, da die Online-Transaktionszentren nicht genau berprfen knnen, ob eine Kreditkartennummer wirklich existiert und wem sie gehrt.
Es gibt lediglich bestimmte Algorithmen, um die Nummer und die Gltigkeitsdaten einer Kreditkarte auf eine gltige Struktur hin zu berprfen. Daher kann man bei der Anmeldung beliebige Namen und Adresse angeben und eine der generierten Nummern. Allerdings liefern die Generatoren nicht das dazugehrige Gltigkeitsdatum.
Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummern mit richtigem Gltigkeitsdatum zu erhalten: Die meisten der obengenannten Programme bieten die Mglichkeit, aus einer real existierenden Kreditkarten-Nummer neue Nummern zu generieren. Dieses Verfahren wird"Extrapolation" genannant. Die generierten Nummern unterscheiden sich meist nur in den letzten Stellen und da die Kartennummern bei den Kreditkarten- Herausgebern in der Regel in aufsteigender Reihenfolge vergeben werden, haben die so generierten Kartennumrnern meistens das Gltigkeitsdatum der Karte, von der aus extrapoliert wurde.
Folgendei Bildschirmauszug zeig den Extrapolationsvorgang:
Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer neue Kartennummern berechnen. Das Gltigkeitsdaturn ist dann mit grter Wahrscheinlichkeit bei den extrapolierten Nummern identisch mit dem Gltigkeitsdatum der eigenen, realen Kreditkarte.
Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, da man ihn zurckverfolgen kann. Der Zugang mittels anonymer AOL-Testzugnge bietet maximalen Schutz.
Steht kein solcher Zugang zur Verfgung' sollte ein "Anonymizer" benutzt werden. Einen solchen findet man beispielsweise unter www.anonymizer.com.
Surf man ber den Anonymizer, ist die IP-Adresse nicht zurckverfolgbar. Eine etwas schwchere Variante, seine IP-Adresse zu verstecken ist die, einen Proxy-Server zu benutzen. Die meisten lnternet-Zugangsprovider bieten die Mglichkeit an, Ober einen Proxy zu surfen.
Aber Achtung: Benutzen man seinen eigenen lnternet-Zugang, also keinen anonymen AOL-Zugang oder Anonymizer oder Proxy, so kann der Betreiber der Website, bei dem man sich mittels der falschen Kreditkartendaten anmeldet, mittels der IP-Adresse, die der Server protokolliert, herausfinden, wer ihn betrogen hat bzw. es versucht hat.
Dazu braucht er lediglich Ihren Zugangsprovider zu kontaktieren und ihm die IP-Adresse mitzuteilen. Die Provider fhren i.d.R.
ber die letzten 80 Tage ein Protokoll, wann wer mit welcher IP-Adresse online war.
Manche Pay-Sites geben mglichen neuen Mitgliedern whrend der Anmeldeprozedur bereits vor der eigentlichen Zahlung die Mglichkeit, einen Mitgliedsnamen zu whlen. Ist der gewnschte Name bereits vergeben, wird dies mitgeteilt und man soll einen anderen Namen whlen. Gibt man beispielsweise "John" als Mitgliedsnamen ein, so sagt der Server meistens, da der Name bereits vergeben ist.
Das ist natrlich eine prima Voraussetzung fr die oben genannten Tricks zum Erraten von Passwrtern. Denn nun wei man, da es zumindest den Namen "John" schon gibt, somit mu nur noch das entsprechende Passwort erraten werden. Das ist eine wesentliche bessere Ausgangslage, als wenn man Passwrter zu Useramen erraten mu, von denen man gar nicht wei, ob sie berhaupt existieren!
Als Webmaster einer Paysite sollte man also darauf achten, da das Neumitglied erst nach verifizierter Zahlung seinen Usernamen whlen kann!
Oftmals ist es so, da das Neumitglied zur Zahlung von der Paysite zu einem Kreditkarten-Service geschickt wird (z.b.
www.ibill.com). Nach Verifizierung der Zahlung kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem Formular geschickt, mit dem die Login-Daten erzeugt werden.
Das Neumitglied kann einen Usernamen und ein Passwort whlen und erhlt nach wahl derer sofortigen Zugang. Das Formular fgt die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein oft gemachter Fehler: Geht man nach Erzeugung
eines Usemame/Passwort-Paares einfach mittels des "Back"-Buttons des Browsers zurck zum Formular, so kann man auf einfache und legale Weise ein weiteres Username/Passwort-Paar erzeugen und das immer wieder.
Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen:
Das Kreditkarten-Unternehmen sollte nach erfolgreicher Prfung einen einmaligen PIN-Code bermitteln, den man dann aus der liste der noch gltigen PIN-Codes streicht und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genau EINMAL eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen auch als "One-Time PIN- Hardcoding" bezeichnet. Das Script, da die Usemamen/Passwrter erzeugt, sollte auch mittels der HTTP-REFERRF-R-Servervariablen berprfen, ob der User auch vom Kreditkartenuntemehmen kommt.
Sonst kann ein gewiefter Hacker ein Script schreiben, das von seinem Rechner aus einfach solange verschiedene PIN-Nurninern ausprobiert, bis es eine noch gltige findet. Sind die PIN z.B. siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine gltige PIN findet, wenn das Scriptjede Sekunde eine PIN testct. Bei einer schnellen lnternelverbindung sind jedoch auch mehrere Tests pro Sekunde mglich!
Bilder nicht in geschtzten Verzeichnissen
Dieser Fehler ist einer der hufigsten, da er leicht bersehen wird: Wie bereits erwhnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis und alle Unterverzeichnisse geschtzt.
Befinden sich die Bilder der Mitgliederseiten jedoch in einem Verzeichnis, das nicht in dieser geschtzten"Baumstruk-tur" enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne Eingabe von Username/Passwort angesehen werden. Besonders einfach ist es dann, wenn das Bilder-Verzeichnis auch nicht gegen auflisten geschtzt ist. Dann gengt das Eingeben des Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse haben oft den Namen "images" oder"gfx", "pic", "pix", "pictures .
.. ..
pie ... ..
graphics". Ein einfaches Durchprobieren mit etwas Phantasie fhrt hier bereits oft zum Erfolg.
Das.htaccess-File liegt im Geschtzten Verzeichnis "members". Dort liegen auch die HTML-Dokumente fr die Mitglieder. Die dazugehrigen Bilder liegen jedoch in diesem Beispiel im Verzeichnis "images," welches nicht in der members-Hierarchie ist und somit nicht passwortgeschtzt ist.
Handelt es sich beispielsweise um www.pornsite.com als root dieser Paysite, so kann im Browser einfach die URL www.pornsite.com/image eingegeben werden, und man erhlt eine Liste der gesammelten Bilder (vorrausgesetzt, das Directory-Browsing ist nicht serverseitig ausgeschaltet).
Diese Mglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es mssen einige Vorraussetzungen getroffen werden: Sie mssen in einem LAN (Ethernet-Netwerk) an einem Rechner sitzen und Root-Access haben.
Dann kann man einen sogenannten "Packet-Sniffer" wie beispielsweise "SNOOP" einsetzen. Packet-Sniffer findet man meist als C-Sourcecode im Internet. Diese kurzen Sourcecodes muss man dann nur noch mittels gcc auf der UNIX-Shell compilieren und schon ist es mglich, die Pakete, die zu und von anderen Rechner im LAN gesendet werden, abzuhren. Denn Ethemet-Netzwerke setzen die sogenannte "Broadcast"-Technologie ein. Ein Paket, da fr einen Rechner in einem LAN bestimmt ist, wird im Prinzip an alle Rechner im LAN ausgesandt.
Packet-Sniffing ist also wiederum besonders in den Fallen gefhrlich, bei denen man bei einem Webspace-Provider seinen Webserver mietet und sich dort naturgem mit vielen anderen Kunden in einem LAN befindet. Ein Beispiel ist www.pair.com, einer der grten kommerziellen Webspace-Provider in den USA.
Dort befinden sich ber 70 Webserver in einem LAN, auf dem z.Zt. Ober 30.000 Kunden einen virtuellen Webserver betreiben!
Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines "Segrnenied Networks" an. Bei einem solchen Netzwerk wird nicht die Boradcast-Technologie benutzt, sondem die Pakete werden direkt mittels Rouling-Tabellen zu dem Ziel-Rechner geroutet. Eine besonders fr Web-Smer geeignete Lsung ist der Einsatz von SSL (Secure Sockets Layer).
Dies Protokoll emailprotected alle Pakete, die somit zwar noch abgefangen werden knnen, aber nicht mehr gelesen werden knnen. SSL wird von den meisten Webhosting-Unternehmen gegen geringen Aufpreis angeboten. SSL-Verschlsselte Webinhalte sind am Protokoll-Prefix"hnps:/P'zu erkennen. Zum Betrieb einer SSL-geschtzten Wcbsite mu man eine SSL-ID haben, die es beispielsweise bei www.
verisipn.co gibt. Ein kleiner Nachteil ist jedoch, da HTTPS-Verbindungen etwas langsamer sind als gewhnliche HTTP-Verbindungen, da ein relativ hoher Verschlsselungs-Overhead existiert.
Trojanische Pferde Back Orifice und NetBus
Die amerikanische Hackergruppe Cult Of The Dead Cow (http://www.
cultdeadcow.com) verffentlichte ein Programm mit dem Namen "Back Orifice", das sie als "Fernwartungswerkzeug fr Netzwerke" bezeichnet. Da die Intention eine andere ist, ergibt sich schon aus dem Namen: Back Orifice (hintere ffnung) bersetzt man hier am besten mit "Hintertr", denn das Programm macht es fast zum Kinderspiel, Schindluder mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSoft's "Back Office"-System.
Das nur 124 KByte groe "Server-Modul" lt sich nmlich an ein beliebiges Windows-EXE-Programm koppeln, um es nichtsahnenden Anwendern unterzuschieben. Wird die Datei unter Windows 95 oder 98 ausgefhrt, klinkt sich der Server quasi unsichtbar im System ein.
Von diesem Moment an wartet das trojanische Pferd nur noch darauf, ber das UDP-Protokoll geweckt zu werden.
Mit dem Client lat sich bequem auf den befallen Rechner zugreifen. Unter anderem kann man das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.), Tasks beenden, uvm.
Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools bekannt; neu ist In erster Linie der Bedienungskomfort der grafischen "Wartungskomponente" -- wenige Eingaben und Mausklicks gengen, um Prozesse zu beenden, Tastatureingaben zu protokollieren, die Windows-Registry zu manipulieren oder IP-Adressen umzuleiten.
Einen interessanten Praxisbericht findet man unter der deutschen Adresse
http://www.puk.de/Back Orifice/default.
html
http://www.bubis.com/glaser/backorifice.htm
Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie BoDetect , (hitp://www.spiritone.coni/-cbenson/current_projects/backorificefbaekorifice.
htm) oder das Programm BORF-D (http://www.st-andrews.ac.uk/-sjs/boredfbored.html)
Es ist aber auch manuell sehr einfach, Back Orifice zu entfernen: ffnen Sie die Registry (regedit.
exe ausfhren) und schauen unter dem Schlssel
HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
nach einem Eintrag mit dem Namen ".exe" (Default- Filename) bzw. mit einem Eintrag der Lange 124,928 (+/- 30 Bytes). Lschen Sie diesen Eintrag; er bewirkt, da der "Back Orifice"-Server .bei jedem Windows-Start automatisch aktiviert wird.
Das Programm selbst liegt im allgemeinen im Verzeichnis "WindowsSystem" und ist daran erkennbar, da es kein Programm- Icon hat und eine Gre von 122 KByte (oder geringfgig mehr) besitzt.
Sollten Sie die Datei aus irgendwelchen Grnden nicht finden, kann es Ihnen helfen, da verschiedene Informationen als ASCII-String im Prgramrn-Code zu finden sind; so ist mit groer Wahrscheinlichkeit die Zeichenkette "bofilernappingcon" enthalten, die Sie ber Suche im Explorer finden werden.
Zustzlich zur "Back Orifice-Prgramm-Datel" wird im selben Verzeichnis noch die "WINE)LL.DLL" zum rnitloggen von Tastatureingaben installiert, die Sie auch sinnvoller Weise lschen, die aber alleine keinen Schaden anrichten kann.
Das Problem bei Back-Orifice ist, da es schwierig ist, die IP-Adresse des Hosts zu erkunden, da diese sich ja bei jedem Einwhlen des befallenen Rechners ndert.
Dieses Problem gelst, und eine noch mchtigere Lsung geschaffen hat Carl-Fredrik Neikter mit seinem Programm "Netus", welches recht hnlich ist. Es bietet noch weitgehendere Funktionen und ist einfacher zu installieren.
Nachdem Sie sich die entsprechende Datei hemngergeladen haben, sollten Sie diese entpacken. Nun erhalten Sie drei Dateien: NETBUS.
EXE, NETBUS.RTF und PATCH.EXE
Bei PATCH.EXE handelt es sich um das gefhrliche lnfizierungsprogramrn, das eigentliche Trojanische Pferd.
Starten Sie diese Datei also nicht! D ie Datei NETBUS.RTF enthlt eine kurze englische Anleitung des Authors. Die Datei NETBUS.EXE ist der "Client" mit dem Sie auf infizierte Server zugreifen knnen. Diese knnen Sie ohne Sorgen starten. Starten Sie zum Testen den Server auf Ihrem eigenen Rechner, indem Sie eine DOS- Eingabeaufforderung ffnen und im Verzeichnis von NetBus den Server mit dem Parameter,Jnoadd" starten, also
Nun luft der Server.
Jetzt knnen Sie den Client starten (NETBUS.EXE doppelelicken) und auf Ihren eigenen Rechner' zugreifen. Whlen Sie dazu als Adresse "localhost" oder " 127.0.0.
1 " Wenn Sie den Server beenden wohlen, whlen Sie irn Client"Server Admin" und dann "Close Server".
Auerdem kann das Infizierungsprogramm so gendert werden, da es die IP- Adresse automatisch an eine von ihnen gewhlt Email-Adresse schickt, sobald jemand mit einem von NetBus infizierten Rechner in das Internet geht. Dies ist der gewaltige Vorteil gegenbe r Back Orifice. Dazu whlt man im NetBus-Client den Button "Server Setup" und gibt die entsprechenden Informationen ein. Schwierig ist es lediglich, einen freien Mail-Server zu finden, der Mails von jeder IP- Adresse akzeptiert.
Dann whlt man "Patch Srvr" und whlt die zu patchende Infiziemngsdatei (standardmaig "patch.exe").
Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach per Email an einen anderen lnternetnutzer schicken und die Datei als "Windows-Update" oder als irgendeine tolle lustige Anirnation bezeichnen. Die Datei kann dazu beliebig umbenannt werden (z.b.
Win98update.exe oder siedler2_patch.exe etc.). Wird die Datei nun gestartet, passiert optisch garnichts.
Jedoch hat sich der NeiBus-Server bereits auf dem Rechner versteckt installiert und wird von nun an jedesmal automatisc 'gestartet, wenn der Rechner gebootet wird.
Hat man obige Vernderungen am lnfizierungsprogramm vorgenommen, bekommt man nun immer automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald dieser online ins Internet geht. Diese IP-Adresse knnen Sie nun im Netus-Client eingeben und den Rechner manipulieren.
Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei holmail.com oder maii.com gibt.
Um Ihr System zu schtzen, empfiehlt sich Norton Antivirus http://www.symantec.de/region/de/avcenter/ welches neben NetBus auch Back Orifice erkennt. Sie knnen auch wiederum manuell arbeiten. Der automatische NetBus-Start ist in der Registry unter "liKEY-LOCAL-MACHINESOFTWARF,MicrosoftWindowsCurrentVersionRun" eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren (patch.
exe, sysedit.exe oder explore.exe sind einige bekannte Namen)
Weiterfhrende lnfo finden Sie unter
http://www.bubis.com/glaser/netbus.htm
Sollten Sie beabsichtigen, einen Passwortgeschtzten internetservice zu betreiben, so kommen Sie nie auf die Idee, einen Microsoft NT- Webserver einzusetzen! Windows NT hat ein Sicherheitssystem, das mehr Lcher hat, als ein Schweizer Kse.
Statt dessen sollten Sie ein Unix-Systein whlen. Leider bieten deutsche Webspacc-Provider grtenteils NT-Lsungen an. Hier heit es also, Ausschau halten und ggf konkret bei einem Webspace-Provider nach einem Unix-Server fragen! Ein wesentlicher Vorteil eines Unix-Servers ist neben der Sicherheit der Vorteil, da man sich dort auch per TELNET einloggen kann und so wesentlich mehr Kontroller ber den Server hat. Bei NT- Servem ist dies nicht mglich! Empfehlenswert und preiswert sind besonders unter BSDI oder Linux laufende Webserver. Wie jeder wei, ist Linux sogar kostenlos und Apache, einer der besten Webserver, ist ebenfalls kostenlos erhltlich.
Auerdem sollte man auch die Performance-Vorteile eines Unix-Systems nicht unterschtzen. Besonders im Bereich Traffic-starker Webangebote wird fast ausschlielich Unix eingesetzt. Sollten Sie also beispielsweise ein Erwachsenen-Angebot mit vielen tausend Bildern etc. planen, so lege ich Ihnen den Einsatz eines Unix-Server wftmstens ans Herz. Eine interessante Website zum Thema"Unix vs.
NT" findet sich unter
http://www.lat-mermany.com/maRazin/unix-nt.htm
Rechtliche Aspekte Was sagt das Gesetz zum "Hacken" ?
1.
Wer unbefugt Daten, die nicht fr ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder bermittelt werden.
263 Computerbetrug: 1. Wer in der Absicht, sich oder einem Dritten einen rechtswiedrigen Vermgensvorteil zu verschaffen, das Vermgen eines Anderen dadurch beschdigt, da er das Ergebnis eines Datenverarbeitungsvorgangs durch Verwendung unrichtiger Einwirkungen auf den Ablauf beinflusst, wird mit Freiheitsstrafe bis zu fnf Jahren oder mit Geldstrafe bestraft.
303a Datenveranderung: 2.
Wer sich rechtswiedrig Daten ( 202a Abs. 2) lscht, unterdrckt, unbrauchbar macht oder verndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 3. Der Versuch ist strafbar.
'303b Computersabotage: 1 .Wer eine Datenverarbeitung, die fr einen fremden Betrieb, ein fremdes Unternehmen oder eine Behrde von wesentlicher bedeutung ist, dadurch sthrt, da er .
.. a) eine Tat nach $ 303a Abs. , 1 begeht oder b) eine Datenverarbeitungsanlage oder einen Datentrger zersthrt, beschdigt, unbrauchbar macht, beseitigt oder verndert, wird mit einer Freiheitsstrafe bis zu fnf Jahren oder mit Geldstrafe bestraft. 2.
Der Versuch ist strafbar.
1.Eine Pemn, die gerne die Details von programmierbaren sytemen erforscht und versucht, deren Mglichkeiten auszudehnen.
2. Jemand, der enthusiastisch (sogar obsessiv) programmiert oder lieber programmiert, als nur ber Programme zu theoretisieren.
3. Eine Person, die hack values zu schtzen wei
4. Eine Person, die gut darin ist, schnell zu programmieren
5. (missbilligend) Jemand, der sich hemmungslos berall einmischt und versucht Informationen aufzudecken, indem er herumschnffelt. Daher Password Hacker, Networt Hacker.
Der korrekte Begriff ist Cracker (Aufbrecher),
Der Begriff Hacker'beinhaltel oft auch die Mitgliedschaft in der weltweiten Netz-Gemeinschaft (z.B. lnternet). Er impliziert, da die beschriebene Person sich an die Hackerethik hlt (hacker ethic). Es ist besser, von anderen als Hacker bezeichnet zu werden, als sich selbst so zu bezeichnen.
Hacker betrachten sich selbst als eine Art Elite (eine Leistungsgesellschaft, die sich durch ihre Fhigkeiten definiert), allerdings eine, in der neue Mitglieder sehr willkommen sind. Daher verleiht es einem Menschen eine gewisse Beftiedigung, sich als Hacker bezeichnen zu knnen (wenn man sich allerdings als Hacker ausgibt und keiner ist, wird man schnell als Schwindler - bogus - abgestempelt).
Der Begriff hacken kann die freie intellektuelle Erforschung des hchsten und tiefsten Potentials von Computersystemen bezeichnen. Hacken kann die Entschlossenheit beschreiben, den Zugang zu Computern und damit Information so frei und offen wie mglich zu halten. Hacken kann die von ganzem Herzen empfundene berzeugung einschlieen, dass in Computern Schnheit existiert, dass die sthetik eines perfekten Programms die Gedanken und den Geist befreien kann.
.. ...davon ausgehend, dass Elektronik und Telekommunikation noch immer zu groen Teil unerforschte Gebiete sind, kann berhaupt nicht vorhergesagt werden, was Hacker alles aufdecken knnen.
Fr einige ist diese Freiheit wie das Atmen von Sauerstoff, die erfindungsreiche Spontanitt, die das Leben lebens- wehrt macht und die Tren zu wunderbaren Mglichkei- ten und individueller Macht ffnet. Aber fr viele - und es werden immer mehr - ist der Hacker eine ominse Figur, ein besserwisserischer Soziopahl, der bereit ist, aus seiner individuellen Wildnis auszubrechen und in anderer Menschen Leben einzudringen, nur um seines eigenen, anarchischen Wohlergehens willen. Jede Form der Macht ohne Verantwortung, ohne direkte und frmliche berprfungen und ohne Ausgleich macht den Menschen Angst - und das mit Recht.
Du solltest niemanden die Mglichkeit geben, ein Profil von dir anzufertigen, dazu ist folgendes zu beachten:
oHalte nur zu sehr gut befreundeten Hackern Kontakt, wenn du mit ihnen Emails austauschst, dann sollten sie natrlich mit PGP encrypted sein, zu einem anonymen Account gehen (benutze keinen gehackten Account, besser www.hotmail.
com, www.yahoo.com, ..
.) unter Verwendung eines speziellen Handles, den du fr nichts anderes verwendest - du solltest den Handle/Account unregelmaessig ndern und natuerlich auch ein neues PGP seckey-pubkey Paar erstellen (auch die Passphrase aendern!).
oAchte darauf, dass dein pgp key mit mindestens 2048 bit Schlssellnge generiert wird, ausserdem solltest du aus Sicherheitsgemeinden nicht die 5.x Version benutzen, sondern bei der alten 2.6.
x Version!!
oWenn du dich unbedingt auf den einschlgigen IRC Channels rumtreiben willst, dann ndere immer deinen Nick und wechsel auch deinen Host (da viele Rechner im Internet keine irc-Clients installiert haben, solltest du Relays benutzen (oder auch IP'Source Routing und IP Spoofing, probier's aus)
oich wei, da das ndern des Nicks nicht so schn ist, weil man dadurch keine Reputation bei der breiten Masse bekommt; aber Reputation ist so tdlich wie ntzlich (andere Hacker akzeptieren dich sofort und sind etwas geschwtziger dir gegenber - um sich zu profilieren - aber wenn du erstmal so weit bist'da du deine eigenen Exploits schreibst, dann bist du auf den grten Teil der Hacker sowieso nicht mehr angewiesen, und die restlichen triffst du nicht so einfach im IRC)
oNtzlich sind hier sogenannte ReRouter, die eine TCP Verbindung weiterleiten, was auch schon in der Hinsicht interessant ist, wenn man sich vor Attacken von anderen Hacker schuetzten will, wenn man auf dem IRC zuviel rger verursacht hat ;-
oAuch hier knntest du natrlich einen speziellen Account fr's IRC benutzen
Als Einwahlpunkt dient mir eine groe Uni mit vielen Usern oder ein groer Isp. Ich verwende PPP statt normale Terminalprogramme um eine grere Kontrolle ber meine Verbindung zu haben und weil es von Vorteil ist, ber eine Leitung mehrere Sessions -Telnet, FTP- laufen zu lassen.
Ein kleiner Rechner dient mir als Firewall und Router, ich baue die PPP-Verbindung zu meinem Einwahlpunkt auf und berwache alle eingehenden Pakete. Desweiteren stelle ich mit SSH eine Connection zum Einwahlrechner her, um periodisch alle eingeloggten User und Netzwerkverbindungen zu verfolgen (was natrlich nur funktioniert, wenn der Einwahlrechner eine Unix-Maschine ist und kein Terminalserver o..).
Es ist sehr interessant zu sehen, was ein Administrator alles macht, wenn er merkt, da etwas nicht mit rechten Dingen auf seiner Maschine vorgeht. Sobald mir solche Sondierungen/Untersuchungen auffallen, breche ich die Verbindung sofort ab, falls ich mich aber gerade in einer kritischen Lage befinde, mu ich DoS-Attacken benutzen oder den Admin aussperren, um seine Arbeit zu verlangsamen, bzw. zu verhindern.
Auf dem Einwahlrechner ist es nicht ntig, seine Gegenwart zu verschleiern, es ist besser, unauffllig in der Masse unterzutauchen als irgendwelche Logs zu manipulieren.
Der zweite, grere Rechner ist meine Workstation, von hier aus baue ich eine SSH-Verbindung zum ersten Anti-Trace Rechner auf Dieser Anti-Trace Rechner wechselt regelmaessig, liegt im Ausland und ich habe volle Kontrolle ber ihn. Von hier aus gehe ich ueber ein weiteren Anti-Trace Rechner zu meinem Hacking-Rechner; auch hier habe ich natrlich 'root'-Rechte, der zweite AT-Rechner ist nur ein einfacher TCP-Relay, damit erspare ich mir den Stress mit den Logfiles eic. Vorn Hacking-Rechner gehe ich in sehr sichere Domains oder hacke von hier aus neue emailprotected (es existieren selbstverstndlich mehrere dieser Rechner, die zudem unregelmig gewechselt werden), Zum Scannen benutze ich einen eigens dafuer gehackten Rechner, die Scanner sind hier alle gut versteckt und zustzlich mit 3DES verschlsselt.Die verschlsselten SSH Verbindung sind ntig, damit die Admins/Politessen nicht meine Aktivitten am Einwahlpunkt (oder sonstwo) mitschneiden knnen.
Falls du nur einen Rechner zur Verfgung hast, dann kannst du dich natrlich auch mit der Firewall von Linux/FreeBSD/OpenBSD schtzen. Es istjedoch komfortabler, die Verbindung ber einen speziellen Computer zu beobachten (ich weiss nicht, inwiefern Linux und Co. einen zweiten Monitor an einem Rechner untersttzt).Zustzlich solltest du noch deinen Kemel patchen, damit er dir mehr infonnationen ber eingehende Pakete liefert, somit bist du in der Lage, DoS Attacken, Source-Routing Angriffe, Traceroutes etc. und ihre Herkunft zu erkennen.Weiterfhrende Informationen finden sich unter anderem hier
http://www.sparc.com/charles/seeurity.html
http://www.pilot.net/security-guide.html
so Leute das ist doch relativ lehrreich oder? ich wollte das als Vorgeschmack benutzen damit ihr Lust bekommt mein FAQ zu lesen um es zu bekommen klickt auf
Bibliography: