dunkle Parallelwelt? Wir beleuchten die Szene und zeigen, was die "Sicherheitstools" (auf Heft-DVD) alles können (Mireolang)

Transkript

1 Passwörter cracken, Kopierschutz umgehen, pes ausspionieren, Forensik: Die Open-Source-Szene bringt etliche Lösungen zutage, die nicht immer nur für gute, legale Zwecke eingesetzt werden. Existiert neben den quietschbunten Copyrighted familientauglichenmaterial Pinguinen und Feuerfüchsen eine dunkle Parallelwelt? Wir beleuchten die Szene und zeigen, was die "Sicherheitstools" (auf Heft-DVD) alles können (Mireolang) m Star-Wars-Universum ist die dunkle Seite der Macht verfuhreri eh und punktet mit spektakulären Aktionen, und in den Bits- und Byte -Weten der PCs ieht es im Grunde nicht anders aus: 1st die neueste Spielfilm DVD tatsächlich (wirkungsvoll) kopiergeschützt? t das Netzwerk meine Nachbarn vielleicht offen? Wie knacke ich mein verge enes Windows-/PDF- ZP-Pa wort? Alles spannende Fragen, die beantwortet werden wollen und mit den entsprechenden Werkzeu- Die wichtigsten Fragen zu bösen Tools Sind die Tools illegal. könnte ich Probleme bekommen? Nein. Die vorge teilten Tool sind nicht verboten, sie ermöglichen jedoch verbotene Aktionen, für die Sie unter Umständen belangt werden können. Auch sollten Sie die Programme nicht auf Rechnern im Netzwerk hres Arbeitgebers installieren - gleich zu welchem Zweck! Wie sieht es mit der viel diskutierten Privatkopie aus? m Detail mag Spielraum für juristische nterpretationen zu finden sein, letztlich ist der Sachverhalt für Sie als Endnutzer aber recht simpel: Der Gesetzgeber gestattet Privatkopien, untersagt das Umgehen eines Kopierschutzes, stellt dies aber, so lange es zu privaten, nicht kommerziellen Zwecken geschieht, nicht unter Strafe. Nichtsdestoweniger kann der Rechteinhaber (also zum Beispiel Film tudios) Sie belangen. Mit anderen Worten: st auf einem Datenträger ein Kopierschutz angegeben. dürfen Sie ihn nicht kopieren. gen auch können. Aber natürlich geht es nicht nur um interessante Frage telungen, sondern auch darum, konkrete Probleme zu lösen - ein typischer Fall für die Open-Source-Community. So wundeli es auch nicht, das e etliche freie Tool gibt, die - nicht nur, aber insbesondere von öffentlichen Stellen - in Grauzonen eingeordnet werden oder gar gerne verboten werden würden. Und das nur, weil sie hnen helfen, Schwachstellen in hrem Sicherheit konzept zu finden oder vergessene Passwörter zu rekonstruieren. Das Spektrum quelloffener Programme reicht dabei von recht simplen Tool zum automatischen Ausprobieren von Passwörtern (Bruteforce-Attacken) über die vollautomatische Umgehung von Kopierschutzsystemen bis hin zu peziellen Live-Linux-Distributionen, mit denen Admini trataren Sicherheit lücken in komplexen Netzwerken aufspüren können. Auf den folgenden Seiten möchten wir hnen zum einen die Schnittstelle Hacking Open Source etwas näher bringen und zum anderen anhand von Beispielen zeigen, wie diese "bösen" Tools eingesetzt werden können. Was heißt hier böse? m Grunde sind die meisten Programme nicht bö er als ein ordinärer Zimmermannshammer: Natürlich können Sie damit den Banker an der Krawatte Fe t nageln und da Gcld aus der Kas e klauen, aber eigentlich soll da Teil Metallstifte ins Holz jagen. Genau 0 können Sie mit einem Netzwerk-Sniffer einen Angriffaufdas schlecht gesicherte WLAN hres ungeliebten achbarn planen oder eben einfach prüfen, ob 28 l!r.tt3m'@ljll

2 ich in hr eigene Netzwerk ein unbefugtes Programm eingeschlichen hat. Selb t der Ge etzgeber spricht nur ehr vage und vorsichtig von bösen im Sinne von illegalen Tool und konzentriert ich lieber auf die ntentionen der Nutzer (mehr dazu unter "Verbotene Tools"). Die hicr behandelten Programme sind natürlich allesamt legal, ber- heitsmechanismen wie etwa Verschlüselung algorithmen mit offenliegendem Code im Allgemeinen als sicherer. Auch finden Sie bei beiden Gruppen immer wieder Di kus ionen und Beiträge zu soften Themen wie Ethik: Hacker etzen sich dafür ein, dass HackingKnow-how nur für "gute Zwecke" eingesetzt wird, Fans freier Software pro- "Die erste (die zentralste und traditionellste) [Tätigkeit eines Hackers] ist es, Programme zu schreiben, die andere Hacker für spaßig oder nützlich erachten und die Programmqu lien der gesamte Hacker-Szene zur Nutzung zur Verfügung zu stellen." Erie s.. Raymond, How To BetQme A Hacker, Quelle: Wikipedia ( med i3.orgjwi k.i/file:eric_sleven_lyymond..qjtpng). Auloe: jerone2.lizenz: CC:-BY-SA ( gen aber alle das Potenzial, misbraucht zu werden, und sind teils auch in der Praxis Standard werkzeuge böswilliger Hacker (meist al Cracker bezeichnet). Letztlich teilen ich also Sicherheit experten und ihre Gegenspieler wie Cyberterroristen oder Spammer die gleichen Waffen und dank Open Source haben auch Sie vollen Zugriff auf da digitale Arsenal - der verantwortungsvolle Umgang mit diesen Werkzeugen liegt bei hnen! Übrigens: Wenn Sie denken, der Vcrglekh mit Waffen sei übertrieben, sollten Sie wi sen, dass etwa Verschlüsselung in den USA unter das Waffenrecht fallt und PGP-Erfinder Phil Zimmermann A nfang der Neunziger gar eine Anklage drohte; und auch Hollywood zeigt so eindruck - wie fanta ievoll die Macht der Einsen und Nullen in neuen Streifen wie Stirb Langsam 4 oder Klassikern wie War Game. pagieren da Recht auf nformationsfreiheit - Brüder im Geiste. Allerdings beschäftigen sich Open Soureeer auch chon mal mit Multimedia und Hacker mit Windows; umgekehrt ist das eher Abaul Hdndbrake Hanclbral<e BOlid: HandBrake is an open-source. GPl-!icensed, multiplatform. multlthreaded DVD fike sourre to MPEG--4 mnverter. COM.! die Ausnahme. Jedenfalls lässt ich so erklären, warum so viele Sicherheitsprogramme, die oft vereinfacht als Hacker-Tool bezeichnet werden, quelloffen sind. Aber auch Programme, die eher den bö willigen Hackern zuzuordnen sind - etwa zur Umgehung von DVD-Kopierschutzmechani men -, ind häufig Open Source und werden durchaus akzeptiert, da sich die ethiche Sichtweise auf das Umgehen von DRM-Maßnahmen derart darstellt, dass dem User damit schlichtweg das Recht auf freie Nutzung der Daten, de Films oder de' Programms wieder eingeräu mt wird, das jenes DRM ihm eben nimmt. Weitere Vorteile freier Lizenzen für böse Tools: Es ist kaum möglich, einen Versionsnummern spielen bei freien lools häufig eine größere Rolle als bei ihren zugeknöpften Pendants, da auch ältere Programmversionen nahezu zu 100 Prozent verfügbar bleiben. Und falls ein.feature". wie etwa das gnorieren von Kopierschutzmechanismen in Handbrake. herausoptimiert wird. kann der geneigte User schlicht auf Vorversionen zurückgreifen Open Source und Cracking Die Open-Source- und Hacker-Szenen haben eine riesige Schnittmenge, chließlich haben sie sich letztlich beide aus den Computerfreaks der ersten Stunden entwickelt und dürften zeitweise gar nicht auseinanderzuhalten gewesen sein. m Grunde basieren beide Gruppen auf eugier und dem Wunsch/ Versuch, Probleme zu lösen - und dass da Lösen eine Softwareproblems im Allgellleinen Einsicht in den Quelleode erfordert, ist klar. Auch haben Hacker zum größten Teil mit Sicherheitsbelangen zu tun - eine Thematik, die untrennbar mit Open Source verbunden i t, denn einerseits ba ieren nun einmal etliche Netze, etwa das nternet, mas iv auf freien Produkten (Li nu x-server u. a.) und andererseits gelten Sicher- Sicherheits-Tools zum Testen und Optimieren (auf Heft-DVD) John the Ripper Bruteforce-/Wörterbuch-Cracker für System passwörter fgdump Erstellt Textdateien von Windows-Passwort-Hashes Nikto Scannt Webserver und dortige Software auf bekannte Schwachstellen PDFCraek Bruteforce-/Wörterbuch-Cracker für PDF-Dateien RARCrack Bruteforce-/Wörterbuch-Cracker für Archive GoogleHacker Findet via Google-Suche.interessante" nformationen/dateien Tor-Proxy.NET Firefox-Plug-in für anonymes Surfen Handbrake DVD-Ripper VLC Player Player/Ripper/Konverter/Streaming-Lösung für Video/Audio Ophcrack Cracker für System-Passwörter via Rainbow Tables VbootKit Bootbarer Cracker für Windows 7-Aceounts Aircrack-ng Toolsammlung zum Testen/Cracken von WLANs Kismet Standard-WLAN-Detektor für Linux hping Erweitertes PNG, Port-Scanner und mehr Net Stumbler Hervorragender WLAN-Detektor für Windows (nur Freeware) PyKeylogger Monitoring-Programm für den Desktop mit Reports via Sieuth Kit /Autopsy Forensisches Data Recovery mit grafischer Oberfläche (Autopsy) emule Toxic Leecher-Version (v. a. keine Uploads) des P2P-Clients emule Vuze Extreme Mod Leecher-Version von Vuze (ehem. A2ureus). Frostwire Freier Filesharing-Client im Limewire-Stil Xampp Serverumgebung für lokale Tests Wireshark Umfassende Analyse von aufgezeichnetem oder Live-Netzwerk-Traffic Googl PHP- Hack-Skript Bruteforce-Tests für hr Google Mail-Konto pidgin nstant Messenger mit interner Verschlüsselung GNUPG/Enigmail Sicherer -Verkehr mit öffentlichen/privaten Schlüsseln Zenmap GU für den Netzwerkscanner Nmap Nirsoft Diverse Crack-Tools unter Freeware-Lizenz (oft aber mit Quellcode) 29

3 Anonymität ist das A und 0 beim Besuch zweifelhafter Seiten: aber auch redlichen Angeboten können Sie mit Diensten wie TOR und JonDoe hre Surfgewohnheiten vorenthalten (links) Welcome Humans!, _"0. Hacker sind ein äußerst humorvoller Menschentyp mit einer Vorliebe für SciFi und Roboter, wie der Web erverscanner Nikto und auch Firefox 3 zeigen, aber wir wollen nicht zu viel verraten... (rechts)... _.".,". r SPEGELl)Ni'-t. h ". <)'. Eu,m:." JQ.lSt Olllii5-llKa 114_ \'i!l:.-d,.tt nt!plr We have come to Wlt you n peec:e end wlth Rcboti rnay not comelol'amt. AO gl'!' ii human beng or, dlfougtl hilttion, acmo ii num RQtxJu hilve! SE!@l'lU'w1gl 'r'ov p WO't1t1\ bee 1CtlS' Rabau are Your P\l5tc pa) 'Mlo"s Fun 10 Be Wttl Robots hbw metlll s i't1trtl!hol/tl not be bitu!n.. 'HUtO'" einzelnen Urheber für da Programm verantwortlich zu machen, dem Entwickler wäre im Zweifelsfall selten eine kommerzielle Absieht nachzuweisen, wenn er das Tool al Open Source vertreibt und last but not least kann die Nutzerschaft sieher sein, dass ein Programm nicht aus dem Verkehr gezogen werden kann. Bei dem Gedanken, da alle nformationen, im Zweifelsfall auch Hollywood-Filme, für jedermann frei sein sollten oder gar müssten, spaltet ich aber auch die Gemeinde rund um Freie Software / Open Source in Lager auf, Generell ließen sich Hackerund Free-Software-Szene noch lange weiter in einzelne Bereiche aufteilen, aber das würde hier zu weit führen, Ein guter Ein tieg punkt in die Thematik ist, wie immer bei derartigen Themen, die Wikipedia. Dunkle Szene? Ja, es gibt offensichtlich eine dunkle Seite der Open-Source-Szene. Allerdings sollten Sie ich von der eher romantischen Vorstellung kleinerer jugendlicher Hacker-Cliquen verabschieden, die ihr Genie einsetzen, um bö 'en Großunternehmen auf die Finger zu klopfen, wie es etwa Johnny Lee Miller und Angelina Jolie im Film Hackers tun. Derartige Anleihen finden Sie eher in der Filesharing-Szene, in der es durchaus noch Gruppen gibt, die um des Prestiges willen versuchen, neue Filme als Erste in Netz zu stellen. Einzelpersonen, die nachts um vier im vollge topften Arbeitszimmer versuchen, das lokale Rathaus, die Ex-Schule oder das Netz des Arbeitgebers zu hacken, wird es freilich immer geben, aber auch diese Gruppe ließe sieh nicht wirklich als Szene betiteln. m Malware-Bereich gibt c hingegen eine klare Tendenz hin zur Weiterverwendung der Quellcodes von Viren, Würmern und Verwandten. Aber auch Methoden und Gepflogenheiten der Free SoftwareWet werden übernommen, wie etwa in MeAfees Analyse globaler Sicherheitsbedrohungen 2006 nach zu lesen ist: "Bot-Autoren greifen ver tärkt auf Open-Source- ntwieklungstechniken zurück, so z. B. auf mehrere Beiträge, VerötTentlichungen unmittelbar nach Fehlerbehebungen, bezahlte Funktionsänderungen und Wiederverwendu ng von Modulen. Die e Form der Kooperation wird Botnets vorau ichtlieh zu größerer Robustheit verhelfen, was für Botnct-Kunden eine solidere nvestitionsrendite bedeutet." Aus dieser Äufkrung wird auch klar, das es sieh um weltweit organisiertes Verbrechen handelt - das schlicht auf den Erfolgszug Open Source aufgesprungen ist und den quelloffenen Ansatz als effizientes Entwicklungs- und Business-Modell sicht. Die in diesem Artikel behandelten Tools ind, wie bereits erwähnt, vor allem (oder zumindest auch) für legale Zwekke gedacht und tammen wie Firefox, Linux oder Joomla! von ganz normalen Programmierern, Hochschulen und Unternehmen, die in der Regel keine Mitglieder irgendeiner Cyber-Matia sind. Neben der Software sollten übrigens auch frei verfügbare Dokumentationen und Anleitungen, etwa für spezielle Angriffe auf Web ervcr, mit betrachtet werden, denn auch derlei Dokumente werden, häutg zu ammen mit der Malware, frei getauscht und verteilt. Wenn Sie nun geneigt sind, zu sagen, dass Malware eindeutig bö e verbotene Software ist, müssen wie Sie trotz einleuchtender Logik noch kurz bremsen, da auch hier die Grenzen fließend sind. Dazu ein Beispiel: Der Wurm W32/De- Vorsicht Vi ruswa rn ung! \';) Norton AntiV.-us Sie haben eine Firewall..und ein Anti-Virus-ProScherheitsverlauf 0 ' gramm installiert? Falls D Wamu''Ui.. nicht, sollten Sie das NR"" lbilq,dringend nachholen! Rc!.llMlll3Hko!'nprlr'r.iHl Dael,.,l'" Wenn Sie allerdings Tools aus diesem Artikel ausprobieren möchten, "-". müssen Sie mit etlichen Meldungen rechnen, da diese häufig als Mallmpk>hJ_..,u,1lli&: ' HHl4.2i.9 e't4n-t,/,i;w1 ware erkannt/verkannt werden. Natürlich können Sie Anti-Virus Et MU..2OD"i2l:1Bll Co, kurzzeitig deaktivieren, sinnvoller ist es aber sicherlich, für Tests eine virtuelle Maschine zu benutzen. Allerdings bringt die Virtualisierung bei Tools, die Verbindungen ins oder über das nternet aufbauen, oft nicht viel, da diese natürlich über den Host-Rechner, also auch hre normale Firewall, laufen. Wenn Sie derartige Applikationen dennoch ohne Risiko nutzen wollen, können Sie das nur über ein Live-Linux-System beziehungsweise eine separate Windows-nstallation (vorzugsweise auf einer eigenen Festplatte) bewerkstelligen. Übrigens wird auch die Heft-DVD aller Wahrscheinlichkeit nach Meldungen auslösen, aber echte Malware müssen Sie natürlich nicht befürchten! Tipp: Wenn Sie Tools ausprobieren und hrer Sicherheitssoftware mitteilen, dass der Zugriff doch erlaubt werden soll, erlauben Sie es nur einmalig, setzen Sie also kein Häkchen bei Optionen wie.einstellung merken" - schließlich möchten Sie nicht irgendwann von den Log-Dateien eines Keyloggers oder Ähnlichem überrascht werden, den Sie vielleicht vergessen haben zu deinstaliieren! '= 1:.nllblvl,moncn " l!r.tt3m'@ljll

4 loder.worm (erschien 2003) enthältteile der populären Fernwartung oftware TightVNC, und omit besteht die Chance, da s Sie sieh mit TightVNC absichtlich Software in talliert haben, die vom Viren-Scanner als Malware erkannt wird. Stellt ich die Frage, wie Software-Verbote überhaupt aussehen ollen. Verbotene Tools Die Regel: Es gibt keine bösen Tools! Der Gesetzgeber konfrontiert PC-User vor allem an zwei Punkten mit Verboten: der Umgehung eines Kopierchutze im Urheberrechtsge etz ( 95a UrhG) und der Nutzung!Verbreitung so genannter Hacker-Tools zum Ausspähen und Abfangen von Daten im Strafgesetz ( 202a,b,c StGB). n den UrhGParagrafen ist geregelt, dass Sie keine Kopien von Film-DVDs oder MusikCDs erstellen dürfen, sofern diese einen wirksamen Schutz zur Verhinderung solcher vorweisen - auch nicht für private Zwecke, auch nicht, wenn der Schutz faktisch unwirksam ist. lmjuritischen Sinne reicht e, wenn der Her- steiler einen Kopierschutz implementiert und darauf hingewiesen hat gleichgültig, ob er etwas taugt oder nicht. Dcr im Volksmund Hackcr-Paragraf genannte 202c StGB untersagt Besitz!Vertcilung/Herstellung von Programmen, die zur Begehung einer Straftat nach 202 a und b dienen, also das Ausspähen von Daten (etwa Knacken verschlüsselter Passwörter) beziehungsweise das Abfangen von Daten (etwa Mitschneiden fremden Netzwerkverkehrs) zum Ziel haben. Wichtig: Nicht die ools selbst sind verboten, vielmehr ist deren Nutzung zu illegalen Zwecken unter Strafe gestellt. Dies betrifft besonders die Hacker-Tools, da diese auch von Sicherhcitsfirmen und Systemadministratoren eingesetzt werden, um Sicherhcitslücken in Netzen und Produkten aufzuspüren. Nach Einführung des Paragrafen gab es (und gibt e noch) viel Verun icherung bei den redlichen Nutzern derartiger ools, ob sie sich nun nicht strafbar machen würden, wa mehrere Akteure durch (Selbst-)Anzeigen zu klären versuch- zel: hoditli»te. -.::J 9 Jlfdll: tntlcflk J n 8tfd1J: nmjp H <A v.fle.fs22..2s,oo PA21,23,90,3399 h6th::s5lte.ofo NM:!lp-Ausg,ib 1Pl:lrt:t RKh-lE:1 J:tl$b\ll:bJf Red"Ll'l'Zlbeltradtet Fl:i cbctj9'l 1Rathner-Det.ak Sl$Jettlh120."..0 ten. Ergebnis: Die ools selbst sind nicht illegal, erst die Nutzung für illegale Aktivitäten bringt Sie in die Bredouille. So musste sich etwa das Bundesministerium für Sicherheit in der nformationstechnik (BS) mit einer Anzeige auseinandersetzen, da mit der 15 localhost Zenmap ist eine sehr schöne Oberfläche für Nmap. mit der Sie Netzwerke auf offene Ports, vorhandene Rechner und so weiler untersuchen können Hacking-Komplettlösu ngen: Live-CDs Hacking, Sicherheitstechnologie und auch Cracking sind Themen, die unweigerlich zu Linux führen, für das sich die meist n Tools finden. S bst Tool5, die sowohl für linux als auch rur Windows existieren, etwa Aircrack-ng, funktionieren unt r UNX-ähnlichen Systemen meist besser. Dennoch müssen Sie sich nicht unbedingt um die (teils komplizierte) Einrichtung Dutzender Tools kümmern, da es viele linux-distributionen gibt, die sp zi 11 rur Aufgaben in der T-Sich rh it konzipiert sind. NSERT NSERT (auf Heft-DVD) ist ein Live-Linux der nside Security GmbH ( auf Basis von Knoppix mit gerade einmal 60 Megabyte. Sie finden hier Tools für Datenrettung, Netzwerkanalyse und Malware-Erkennung. haben Zugriff auf alle gängigen Dateisysteme lokaler und entfernter Rechner und können somit vor allem bei gecrashten Rechnern schnell Erste Hilfe leisten. Die Distribution läuft mit einer einfachen schnellen grafischen Benutzeroberfläche und startet eigentlich immer ohne jegliche Probleme. Selbst wenn Sie gerade keinen Bedarf haben, empfehlen wir dringend, sich eine Version auf eine CD oder einen alten USB-Stick zu spielen - ist der Bedarf tatsächlich da, ist es meist schon zu spät! BackTrack Die vermu tlich meistzitierte Software in diesem Bereich ist die Verschmelzung von WHax und Auditor Security Collection: BackTrack ( org/backtrack.html) basiert auf Slackware Linux und bietet über 300 Tools für Penetrationstests, al- so simulierte Cracker-Angriffe zur dentifikation von Schwachstellen. Besonders hervorzuheben ist dabei das Metasploit Framework ( das eine Umgebung zur Entwicklung und Ausführung von Exploits bietet und Hunderte bereits fertige Module beinhaltet, die Sie unter nachschlagen können. Hier aber schon mal ein paar Beispiele von Sicherheitslücken, die Sie ausmachen können: Standard-Logins auftomcatservern, PHPMyAdmin-Dateien. die die Ausführung fremden Codes ermöglichen, Buffer-Overflow-Risiken in Sicherheitsprodukten von Trend Micro, McAfee und Symantec oder Möglichkeiten, die Firewalls eines (zum Beispiel Firmen-) Netzwerks zu umgehen. Die Liste der Module ist lang und dank weiterführender nformationen ein hervorragender Startpunkt in die Welt des Penetration Testings - Englischund etwas mehr als nur grundlegendes T-Wissen vorausgesetzt. Übrigen ist BackTrack dank verhältnismäßig einfacher Oberfläche einerseits und Professionalität und ndividualisierbarkeit andererseits sowohl für Einsteiger als auch für langjährige Tester interessant. DEFT linux DEFT ( ist im Gegensatz zu BackTrack nicht auf Penetrationstests. sondern auf foren ische Arbeiten ausgelegt, also das Un.,.._ tersuchen lokaler oder entfernter Dateisysterne 1':1.:=,_:::",._-J>:.:::.::,:,... ):Q: auf Malware, verlorene :::.;:v- :::.::).._.1'1 "" Dateien, Logs oder... "... schlicht die Tätigkeiten liciijll!!!!!_:"'7 des (vorigen) Nutzers. Natürlich finden Sie dennoch auch die üblichen Netzwerkprogramme Wireshark und Kismet und so weiter. Die Distribution aus talien ist ein Ubuntu-Derivat und ist auch als USB-Version verfügbar.,...., r.. _,io' 31

5 MMMAMAAMAAAAMMMMAAAO AAAMMMMAAA4AAAAMM"'MMAAA,.,,.,... "'... "66AAAMMMMMAMAAAAAMAAA MMMMMMAMAMMMMA ",,0, '" 6,0,,0, [ OOS U "000 ogg'd ")[ > 331 P."v""d 'OQuled " :looooo::.l!lo"'":jeoooooeooooom:looooeo:oo:eo:oooeoom:laoooom:laoom:loooooooooo <Ma;lao.saaaaaaMi!laaaaaMaaaaMaaaaMaaaaoMaaaaM&aaaoMaaaaMaaaaoMaOaa<SMaaa.saaaaaa.MaaaaMaaaaMaaOOMelaaao»aoaaoMaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa aaailaaaaaoaaaaaaaaaaaaaamaaclclösoclcl aaaaaaaööaa aaaaaaaaaaa aaaaaa [ OOS 23:20:4U "000 ogg,d,,)[127.0 Oll> Ö><onnecled. (000446) S 23:20:4U "000 ogg,d " > Ca1neet'd. "nding weom, [ OOS 23:2OAO "000 oog,d,,) > 22Of'lezillo Serv" v.r"", 0 S 32 bel....,.09'... (OOOU6J 10.' :20:40 (trl logged r1j () 1» 22O'ft'iten by, m Kcme (1 mkoue@gmllde) 1000" OOS 23-20'4U. '000 ogg,d "Jl > 220 Aeo..., h' 11""001",,, nellpe<:l./lr,,1a ] S 23:20:40. '000 oog,d"w27.0 Oll> USER MMMMAMMMMMAAAAAAA,O,,O,,.,...,.,... 6AAAMMMMMMMMMAAAAAAAAAAAAAAAAAAA'J'J'JMAMMMMMAMMMAA AMMMMMAMMAMMMAA666 /\/\/\/\/\/\'JMMMMMMAMAMMMMAAA... A/\/\/\/\/\/\/\'J'JAMMMMMAMAMAAMA MM44444MMAAAAAAMAMAAAA" /\ A /\ /\ A11 11 'J 'JMAM44444MMAAAAAAMAMA 6"''' 6" A A /\ /\ A11 11 'J'JAMMAA44MMAAAAAAMAA MMAMAAAAAAAAAAAMAMM b'" b b b b A A'" AAAMAMAMAAAAMAAAMMAM"'''' b b b b b A'" 6 A A A A AAMAMAMAAAAAAAAAMAM M4MMMMMMMMMMM'.t./\/\/\/\... /\ [000<46] S 23:204U.,,,,, ooll'd " > 331 P..."",d,,,,,,,'ed " MMtJMMtJ-»M-»MMoMtla.MMfJ Ol!ll!ll!o!ll!lMOl!ll!ll!l!l!!ll!ld<MO!lo!ld!ldd!:o!ld&M!:dd!:o!ldo!ldo!ll!lo!ld!ld1!o!ld<MOl!lo!ldoM!lo!lo!ll!l-»ol!ll!ld!:o!ld!: l!aaaaaaaaml!ll!laaal!aaao!aaaaaaaaaaamaaaaaaaaaaaal!aaaaal!laaaaaaal!laal!aal!l!aaa aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa OOOU6] :20:4U "000 ogg'd W » doconne<led (000447) S 23:2O:4U "000 ogg,d "j > Ca1nect'd.,.nding... m' Das Penetration Testing Tool... hier als Gegenstück die ankom(0 F Accoynt W Transfer Metasploit Framework erlaubt menden Login-Anfragen mit -C"OOOi51 (notbggerjl"i) 121.0,0,1 dank simpler Eingaben auch extrem langen Nutzernamen Einsteigern. erste Erfahrungen mit protokolliert professionellen Sicherheitstests w sammeln; hier wird etwa ein hauseigenen Sicherheits-Linux-Distri- Grunde nur den Zweck haben, gedos-angriff (Denial of Servicel auf die Administrationsoberfläche bution BOSS (BS Open Souree Security schützte DVDs zu rippen, sind durchaus des lokalen Filelilla-Servers Suite) eine Version des Passwort-Knak- verboten, aber auch hier mit der Begefahren. die. kers John the Ripper mit verbreitet wurde - natürlich gab es keine Verurteilung. Die Ausnahme: Tools, die..hauptsächlich entworfen, hergestellt, angepasst oder erbracht werden, um die Umgehung wirk amer technischer Maßnahmen zu ermöglichen oder zu erleichtern" ( 95a Ab atz 3 UrhG). Mit anderen Worten: Programme, die im chränkung auf..gewerblichen Zwecken dienende!n] Besitz" ( 95a Absatz 3 UrhG). Das bekannte te Bei piel ist wohl das Programm AnyDVD, das zwar in Deutschland nicht verkauft, aber durchaus be essen werden darf. un kümmern wir uns um Open-Source-Lösungen, und die lassen sich nun einmal nicht so einfach vom Markt nehmen, """.age... oder um genau zu sein: gar nicht. Was bedeutet das alles für Sie? Besitzen dürfen Sie alles, verwenden dürfen Sie alles wiederum nur für legale Zwecke, denn egal, ob Sie ein Open-Source-Tool oder einen käuflich erworbenen Passwort-Knacker nutzen: Wenn Sie die Codes Dritter angreifen, ist es illegal. PDFs mit PDFCrack entschlüsseln Das Portable Document Format (PDF) hat sich längst als Austauschformat für Dokumente durchgesetzt und verfugt über entsprechende Sicherheitsmechanismen. Die meisten Nutzer setzen auf simple Zugriffsbeschränkung via Passwort und dieses kann durchaus gecrackt werd n. Dazu benötigen Sie lediglich das freie Kommandozeilenprogramm PDFCrack ( forge.net) von der Heft-DVD. Unter Windows wird dieses Linux-Tool mit Cygwin eingebunden, was Sie an der entsprechenden DLL-Datei erkennen; kümmern müssen Sie sich darum nicht weiter. Kopieren Sie einfach die zu öffnenden PDFs in den gleichen Ordner wie die PDFCrack-Dateien und starten Sie das Tool etwa mit folgender Anweisung: c:\pdfcrack> pdfcrack -f test.pdf -n 3 -c abc123 n diesem Fall würde PDFCrack versuchen, eine Bruteforce-Attacke auf die Datei Test.pdf zu starten; der Parameter.-n 3" legt dabei fest, dass Pa swörter mindestens drei Zeichen haben müssen (mit,,-m" könnten Sie auch eine Maximallänge festlegen) und mit,,_c" könnten Sie einen Zeichensatz übergeben, der verwendet werden soll. n diesem Beispiel würde PDFCrack also so lange mindesdas Ergebnis eines erfolgreichen Cracks: Das Passwort.test" ist tens dreistelige Kombinationen der Zeidenkbar schlecht und selbst ohne die Einschränkung auf einen chen a, b, c,, 2 und 3 bilden, bis das limitierten Zeichensatz schnell entschlüsselt Passwort gefunden ist. Eine derartige Begrenzung ergibt in der Praxis natürlich keinen Sinn, aber um zu testen, ob PDFCrack korrekt funktioniert, können Sie die Zeit für den Crack so auf ein paar Sekunden begrenzen (sofern das Passwort etwa.abc" ist). Alternativ zum Bruteforcing können Sie per Wörterbuch hr Glück versuchen und mit dem Parameter,,-w" eine Liste mit per Umbruch getrennten Begriffen übergeben. 32 Einsatzgebiete Kommen wir nun zum praktischen Aspekt und dcr Frage, wo unsere Tool mit Unheilpotenzial denn überhaupt eingesetzt werden und welche Produkte welche Lösungen versprechen. Für den Heimanwender sind die wichtigsten Szenarien sicherlich die Rekonstruktion vergessener Passwörter und die Anfertigung von Sicherhcitskopien von Multimediadatenträgern; aber auch die bisher unerwähnten Filesharing-Produkte erfreuen sich nach wie vor grolkr Beliebtheit. Klassische Hacking-Ansätze zeigen wir hnen in den Ab chnitten Netzwerke, Kommunikation und Google Hacking; die e Bereiche sind auf Daten pionage au gelegt und somit tendcnziell ein Problem für jeden PCNutzer, aber: Wenn Sie die grundsätzlichen Methoden und Tools böswilliger Hacker kennen, ist das bereit ein großer Schritt in Richtung Sicherheit. Abchließen werdcn wir dann mit einem Thema, das die komplette Aufmerkamkeit hrer Ethik-Einheit erfordert: Desktop-Tools zum Überwachen von Nutzern, zum Au spionieren von Passwörtern, zum Wiederher teilen gelöschter Dokumente oder auch zum Umgehen beschränkter Tc tzeiträume bei Sharcware. Kopierschutz Beim Thema Kopierschutz geht es mittlerweile fa t nur noch um Video-DVDs: l!r.tt3m' 1lC41/11

6 Audio-CDs sind häufig nicht geschützt RAR-Format ge peichert. Freilich sollpiel ASC oder die Menge {abcoder derart schlecht, da der Schutz ten Sie hre Steuererklärungen, medizidefg23}) zu ein-, zwei-, drei- usw.überhaupt nicht auffallt, wenn Sie einni che Unterlagen, berufliche nterna telligen Passwörtern und te tet diese fach cincn Standard-CD-Rippcr wic das und so wcitcr immcr mit Passwörtcrn ctwa gcgcn dcn Login-Prompt cincr versehen, jedoch passiert e dann enthervorragende CDex nutzen. SoftwarePDF-Datei. Auch wenn PDFCrack (siehe prechend häufig, Titel hingegen sind immer häufiger mit Kasten) schon auf einem Standardrechda seinzene Online-Aktivierungen und ähnlichen ner mit ntel Core über Schlü cl verlorengehen oder s hlicht Wörter pro Sekunde chafft, kann diemechanismen ver ehen, diedic Herstelvergessen werden. Noch schlimmer: Sie e Vorg hen unter Umständen Jahrlung lauffahiger Sicherheit kopien für vergessen hr Systempasswort für Winhunderte dauern. Moderne Systeme normale Heimanwender fast unmögdows, Linux oder Mac. Nu n gibt es grob können zwar mittel' nvidias CUDAlich machen. Film-DVDs, Technologie (Grafikkarten-GPUs wer"seinen eigenen Bot zu kreieren gleich ob geden für eigentliche CPU-Aufgaben abund ein Botnetz aufzusetzen, ist kaufte oder gestellt; mathematische Berechnungen elbst er telwie die Ent chlüsselung führen die heute relativ einfach. Man benötigt te, lassen GPUs zudem deutlich schneller aus al kein Spezialistenwissen, sondern ich besoncpus) die Rechenkraft von Grafikkarkann einfach verfügbare Tools oder ders komforten nutzen, dennoch bleibt d ' zeitliche gar den Quellcode herunterladen." tabel mit der Aufwand bei guten Passwörtern enorm. OECO..Hintefgrundinformationen fdr Minister 07, freien SoftDie zweite Spielart nutzt Wörterbücher, ware Handderen Einträge als Logins durchprobiert werden. Dabei kommt es natürlich ma brake kopieren - zuminiv auf die Qualität und Quantität die er dest, solange sie keinen Kopierschutz gesehen zwei grundlegende MöglichLi ten an. Ein sehr gute Beispiel für ein olche Wörterbuch tammt vom nforhaben. Das war nicht immer so: Vor der keiten, Passwörter zurückzuerlangen: Entweder Sie versuchen etliche mögliim November 2008 er chienenen Versimation Warfare Consultant Sebastien che Schlüssel oder greifen auftools zureveau, über dessen Blog ( on beinhaltete Handbrake die Bibliothek libdvdcss aus dem VideoLANrück, die gecrackte Verschlüsselungsebastien. raveau.n ame/2009/03/cra cking-passwords-with-wikipedia.html) Projekt (u. a. VLC Player), die Videoalgorithm n einzelner Programme zu Sie eine Wortliste, generiert aus den DVDs chlicht als Abfolge von DatenRate ziehen. n ersterem Fall können Sie Datenbanken mehrerer Wikipediablöcken liest und sich entsprechend wiederum zwei Spielarten verwenden: Eine Bruteforce-Attaeke kombiniert die nicht um Kopier chutz, DRM oder ÄhnAusgaben, herunterladen können. Der Elemente eines Zeichensatze (zum Beigroße Vorteil der Liste ist, dass auch liches kümmert. Das Problem dabei ergibt ich aus den oben zitierten UrhGTexten: Handbrake war in früheren Versionen eindeutig ein Tool, das hauptsächlich für das Rippen geschützhandbrake (auf H ft-dvd) z igt ter DVDs gedacht und somit zumindest Tot'ib Pteet!l tteilnah an der llegalität war. Natürlich fineinmal mehr eine Besonderheit Jt AddtoQuM Qul:uc det sich libdvd s aber auch im freien freier Software auf: Mit der Version wurde dem DVD-Ripper Vorzeige-Player VLC, der DVDs und e:o'wlo<o:-ls flrowlll'" 'felder ("'ne Filme nicht nur auf die lokale Anzeige die Fähigkeit genommen, sich über '" treamen (also auf dem Mon itor abspiekopiersehutzmeehanismen hinwego...rtle; F\,J&f!f'&\JC'akJt5(,...l\Oe&k.tOO\lrM!lld& 'l' habl'ilkf;.l"lk.v len), sondern als Streaming-Ziel auch zusetzen. Aber da sich Open-SourOul".., Sdting.. (1)r0ld1 'rdir.vioion) das Netz oder eben eine Datei haben ce-produkte nun einmal nicht einr trrp oplll"lilb!d M... Ent:0d8: A.N:. r ltliert Fod AUlM f faul H 264 fach einziehen oder aus dem "Hankann. So lässt ich also ein Film gleichdel" nehmen lassen, können auch zeitig ansehen und im Hintergrund wahlweise in Netz treamen (zu andeältere Versionen heruntergeladen r;;: 2-PU lni:odlng :JOO Avg ßfmll" (kbps)' P" TilJl1o&ttlPass ren Rechnern, Kon oien etc.) oder in werden - auch wenn Sie dann nato!fod S.n CM8): c:::==:::j i 6" M türlich auf einige Vorzüge der etlichen verschiedenen Formaten als r Oll'r'MaleEncodl"'il neueren Versionen (aktuell ist lokale Kopie speichern. Übrigens: Zwar 0.9.4), wie bessere Profile, verzichhaben die Handbrake-Macher den ten müssen. DVD-Decrypter entfernt, jedoch geben Wenn Sie mit hrer ie auf der Homepage [ Version von Hand..!. H"..,=l,:- kc.fr) gleich auch den Hinweis, dass So oder so ist Handbrake ein sehr guter, ein1gf!mtpelfcj'1\wu1 brake zufrieden sind. o.st4'tup fachst zu bedienender Helfer, um hre DVDs auf Handbrake unter Mac automatisch die könn n Sie über den ro.kf\l'''''''''''' libdvdc s de VLC lädt und unter Linux dem pe zu archivieren. Sie müs en lediglich ei" 'fbk' Ot.c tpl Button.Options die Pu..dntyr:ld.ultlll automatische Suche ne VOB-Datei oder den VDEO_TS-Ordner einer r lj)dut f"'$ffl eine manuell installierte Version der nach Updates Bibliothek akzeptiert - Copyright-SauDVD als Quelle angeben, einen Speicherort unterbinden wählen und sich dann für eines der Presets entbermänner ehen anders aus. c :=J cheiden - empfehlenswert sind Einstellungen Passwörter mit H.264 und AAe als Video-/Audio-Encoder sowie,,2-pass-encoding" unter dem Register "Video': Besonders praktisch: Statt die Konvertierung dimmer mehr wichtige Daten werden auch aufheim-pcs digital abgelegt und rekt zu starten, können Sie Aufträge per "Add to Queu" in die Warteschlange einreichen und die äuvorzugsweise als verschlüsseltes PDFßerst zeitaufwändige Verarbeitung auf die Nacht auslagern. Dokument oder Archiv im ZP- oder (( OECD Das kann nur Open Source: rippen mit Handbrake.. --======--_-=:::J l AudJ() ""- J 33

7 _e o FtJ shanllq o Share only pzwtia fies o "''-,lwno o 0;'- fil.,",1<11 to net"",k.. UploM - D o"'y to errule dients Lll/Md \'f_ 0Queuell., er"""" o "bmalqueue o QUeue for comolete files o Queue for partial files o queue o Que.e onv rar fll.nd,..."., Hat'd Leeeher Settings Comtnunity Nitk Thief o Credll: Hack: Off o oothe<f8.el _e<:mnblllrd COmfl"lJnly Setbno> g r.ri ExteOOed Modlbef. lt S Visil:our fof"um G?"'..;;:;:;:J 'tojer'tolw'et!.u1l'1hlrea&wtftlll'" Nur Open Source erlaubt, dass.böse Programme wie der Filesharing-Client emule modifiziert und damit, je nach Betrachtu ngsweise. böser oder eben.ieber" gemacht werden... (links).. ' indem Uploads komplett blockiert werden. was das eigentliche Sha ring außer Kraft setzt. Die meisten Mods, hier im Bild emule ToXC. fügen aber sinnvolle Modifikationen neben dem Upload-Verbot hinzu (rechts) 5t:H6 M" &gh:fi-= tfw'j!2,!i flc..t..'om)m,.., ""*"'= "*Oe_dl sehr viel Umgangssprachliches zu finden ist, etwa Verballhornungen von Begriffen. Und da User (unvorsichtigerwei cl dazu neigen, echte Wörter statt wirrer Zeichenketten als Zugangscodes zu verwenden, lassen sich mit diesem Datenbestand etliche Passwörter wiederherstellen. Sie sehen, nicht nur die Technik, auch die (potenziellen) Passwörter selbst stammen aus dem OpenSource-Bereich! So oder so handelt es sich bei bei den Spielalien mehr oder!.m weniger um "gutes Raten". Die zweite grundlegende Herangehensweise nutzt in der Regel die Tatsache aus, das die Verschlüsselung eines Herstellers etwa für Office-Dokumente selbst gecrackt wurde. Alternativ werden Verschlü selungen mithilfe von Hilfstabellen gecrackt; deren Berechnung ist zwar ehr zeitintensiv, sie können aber immer wieder genutzt werden, um einzelne Passwörter verhältnismäl3ig schnell wiederzuerlangen. ools dieser Art 11 Abb,..hen 11 lt>emelmen 11 ife finden Sie allerdings vor allem im kommerziellen Bereich, zum Beispiel bei Elcomsoft ( die teils die umgehende Wiederherstellung garantieren (zum Bei piel bei Lotus Office-Dokumenten) beziehungsweise zumindest einen maximalen Zeitraum, sichergestellt durch Varianten erwähnter Tabellen. n der OpenSource-Prax is kommen vor allem Kommandozeilenprogramme zum Einsatz, denen meist lediglich ein Wörterbuch oder Zeichensatz sowie die zu entchlüsselnde Datei beziehungswei e deren Passwort-Hash (die verschlüsselte Variante des Passworts) al Parameter übergeben werden müssen. m Kasten "Tools zum Artikel" finden Sie Programme für die üblicherwei e anfallenden Passwortwiederherstellungen für Archive, Betriebssysteme und OfficeDokumente - eine Garantie für das (zeitlich akzeptable) Funktionieren gibt es aber freilich nicht, gute Passwörter lassen sich eben nicht so schnell entschlü ein. Anonymisierung im Netz Egal, ob Hacker, Cracker, Sicherheitsspezialist oder Skriptkiddie: n einem Punkt dürft n sich alle einig sein: Anonymität ist wichtig. Schon wenn Sie einfach ganz normal im Netz surfen, schadet es nicht, hre Wcge zu v rschl iern, abcr spät st ns, wenn j mand ein Vorhaben mit nicht allzu heeren Motiven angeht, ist der Schutz der Privatsphäre ein absolutes Muss - und dabei einfachst umgesetzt. Die übliche Methode, sich anonym im nternet zu bewegen, ist der Weg über Proxy-Server, das heißt, dass Sie sich beispielsweise nicht direkt mit der Seite verbinden, sondern der Seite mitteilen, dass Sie die Google-Homepage sehen wollen; daraufhin ruft der Proxy die Seite ab und zeigt sie hnen, soda s Sie zwar die Google-Seite sehen, aber nach wie vor nur mit dem Beispiel-Proxy verbunden sind - was im Endeffekt dazu führt, dass Google eben nur einen Besuch von beispiel-proxy.net protokolliert. n der Praxis wird der Verkehr oft noch über mehrere Proxys geleitet, Protokolle werden gelöscht, Streams verschlüsselt und der User letztlich ziemlich gut geschützt. Die einfachste Art. diese Technik selbst zu verwenden, ist wohl das Firefox-Plug-in TorProxy.NET-Toolbar ( Hier können Sie die gewünschte Webseite einfach in das Adressfeld eingeben und per Klick via JAP/JonDoe- ( oder TOR-Netzwerk ( anonym aufrufen. Hundertprozentig sicher können Sie zwar auch hier nicht sein, da die Proxy-Betreiber freilich fröhlich mitloggen könnten, was Sie so treiben, allerdings darf man durchaus davon ausgehen, dass dem nicht so Usel'" Agent P) ist - vor allem, weil derartige Projekte häufig einem universitären Umfeld entop.ra/9.50 (Mac,ntosh.lnt.1 Mac OS X. U. 90) stammen und gerne von eher ideologisch denn monetär geprägten Beteiligten bercferre-- (?) treut werden. Schade ist lediglich, dass Send real referrer: r diese Technik zwar schon seit Jahren in Customreferrer: ltrttp:j/wwn volikommenharmjos.org dieser Form verfügbar ist, aber immer noch unter massiven Performance-Problemen zu leiden hat, was einen DauerMit Tor-Proxy.NET können Sie sogar manuell bestimmen, für weieinsatz unmöglich macht - oder sind chen Browser externe Software hren Firefox halten soll und was Sie bereit, eine halbe Minute auf den Server annehmen sollen, woher Sie kommen, indem Sie über den Aufbau der Spiegel-Website zu warten? "Options"-Bulon einfach User Agent und Referrer manipulieren 34 OK Netzwerke Bei Netzwerken geht es hauptsächlich darum, Schwachstellen im eigenen LAN oder im Firmennetz au zumachen - worüber sich ganze Enzyklopädien chreiben liel3en; wir wollen es bei ein paar grundlegenden Tools bela sen. Die für viele Heimnutzer vermutlich erste wichtigste Frage: st mein eigenes WLAN sicher? Traurigerweise t1nden ich noch immer viele schlecht per WEP oder gar komplett unge icherte Netze, die entsprechend einfach von Dritten mitgenutzt werden können. Unter Umständen ist das nicht nur kostspielig, ondern auch fahrlä sig, sollte jemand hr Netz zu illegalen Zwecken nutzen. Und auch wenn es längst kein neuer Trend mehr ist, Wardriving wird immer noch praktiziert und scheint etlichen l!r.tt3m@ljll

8 Nutzern nicht bekannt zu sein. Wardriving meint das Herumfahren und Au fndigmachen von Wirelcss Access Points (WAPs), dic nicht oder schlecht gesichert sind, um sich anschließend dort einhacken zu können. Auch für diese "Aufgabe" bietet die Open-Source-Community alles Nötige: Der Netzwerk-Sniffer Kismet [ less.net) beispielsweise findet WAPs und liefert allerhand nformationen über das Netz, unter anderem natürlich auch über die Verschlü selung. st nun ein WEP-gesicherter WAP ausgemacht, kommt die kleine Toolsammlung Aircrack-ng ( ins Spiel, die 802.ll-WEP- und WPA-PSKSchlü e crackt, wozu einfach nur einige Datenpakete empfangen und analysiert werden mü en - natürlich vollautomatisch. Auf der anderen Seite des WLANs - an hrem Rechner - können Sie wicderum quasi den umgekehrten Weg gehen und mit dem beliebten Wireshark ( die Protokolle hre Netzwerk bis ins kleinste Detail aufzeichnen und analyieren. Da Tool ist einfach und auch für Laien bedien bar, schwierig wird es allerdings bei der Auswertung der erhaltenen Daten. m günstigsten Fall können Sie zwar einfach erkennen, dass irgendein unerwünschtes Programm auf hrem Rechner Verbindungen ins nternet aufbaut (zum Beispiel ein Virus), ganz allgemein werden Sie aber mit sehr vielcnlnformationen überschüttet, die für detailliertes Verständnis einiges an Wissen über TCP/P und so weiter erfordern. Dennoch: Einen Blick ollten Sie darauf werfen; Sie werden erstaunt ein, wie aktiv hr pe ist, selbst wenn Sie gerade nicht surfen. Übrigens kann Kismet die ersehnüffclten Daten in einem Wireshark-kompatiblen Format peiehern, sodass Sie päter genauere Analysen durchführen können. Über diese WLAN-Problematik hinaus lassen ich natürlich auch Sicherheitstests gegen regulär über da nternet erreichbare Netzwerke fahren. Dabei geht es meist darum, nformationen über das System zu sammeln, die eventuelle Schwachstellen offenbaren, al 0 beispielsweise offene Ports oder veraltete Serversoftware. Kennt man etwa einmal die Versionsnummern von Serverprogrammen, muss man sich nur noch über eine Malware-Datenbank nformationen über Sicherheit lücken dieser speziellen Ver ion besorgen, und einen Download später könnte chon ein Angriff gestartet werden. Gebräuchliche Tool sind zum Beispiel die in den meisten Systemen enthaltenen ping, traceroute, dig oder whois, die Sie in erwei- Des Crackers bester Freund: unachtsame Nutzer. PC-Systeme. Software und Peripheriegeräte werden meist mit Standardkonten installiert, um den Erstzugriff zu ermöglichen. Diese werden jedoch häufig nach der nstallation nicht gelöscht. Öffentliche Listen solcher Standardpasswörter und -nutzernamen helfen bei der Bekämpfung dieser Risiken Webserver mit Nikto scannen Wer eine Website betreibt. weiß, dass Angriffe Alltag sind. Viele davon sind harmlos und laufen automatisiert ab, dennoch kommen Sie nicht darum herum, sich zumindest grundlegend mit dem Thema Sicherheit zu beschäftigen. Ein bei diesem Thema viel besprochenes Tool ist Nikto ( das Sie als Kommandozeilenprogramm oder Live-CD nutzen können. Einzige Voraussetzung: eine Perl-nstallation, beispielsweise von ActiveState für Windows ( Mit dem einfachen Befehl nikto.pl -host ziel-seruer.de können Sie nach der nstallation einen automatisierten, sehr umfangreichen Test auf Hunderte angreifbare Dateien und Einstellungen durchführen. Nikto findet veraltete Dateiversionen, Skripte oder Programme, die für Angriffe anfällig sind, scannt auf offene Ports. versucht User-Namen zu erraten, gibt verschiedene Typen von Reports aus und, und, und. Besonders praktisch ist, dass Nikto nicht nur die riskanten Dateien meldet, sondern direkt in der Shell auch angibt, was genau das Risiko bedeutet, also beispielsweise, dass ein Skript für Buffer-Overflows oder eine Apache-Einstellung für Xross Site Tracing anfällig ist. Mit ein wenig Recherche können auch mäßig talentierte Cracker viel Unheil anrichten - Sie hingegen können mit dem gleichen geringen Aufwand entsprechende Sicherheitsmaßnahmen ergreifen, denn die meisten Dokumentationen möglicher Attacken enthalten auch die zugehörigen Gegenmaßnahmen. Übrigens: Wenn Sie einen Faible für nerdigen Humor haben, sollten Sie mal den Namen Nikto nachschlagen; Sie werden auf Filme wie "Der Tag, an dem die Erde still stand",.star Wars" oder.army 01' Darkness" treffen und auch die Eingabe "about:robots" in der Adresszeile von Firefox 3 dürfte für einige Lacher sorgen... Aber bei allem Spaß: Nikto ist ein sehr mächtiges Security-Tool, das bei unserer gescann ten Website (bei einem professionellen Anbieter via Shared Hosting betrieben) bi nnen kurzer Zeit etliche Angriffspunkte aufzeigt. die im Zweifelsfall binnen kurzer Zeit eine Übernahme der Server-Kontrolle ermöglichen. Auch das installierte Content Management System offenbart eine Schwäche, da dessen nstallationsdatei noch vorhanden ist. deren Aufruf unter Umständen massiven Datenverlust bewirken kann - Nikto beschränkt sich also nicht nur auf den Server! 35

9 S OpenPGP Ass&ent Unterschrelben Di;ll<lles Unterschreiben hrer au'qehenden Nachrt:hten openpgp ermogltht hnl'll das digitale Unter5Chret>en hrer Nachrt:hten. Des 1St c e1eklronioche version hrer untersehllt unter eklem BtEf, und es erlllogldlt hrl'll Empfangern SCher zu gehen, d ss Nachrthtl'll tatsaehlch von hnen <llmmen un nicht ver:;ndertwurden. hre Empfiinger benöl:lqen hnen öffenti:hen SChlüsse! und ein OpenPGP-lcompatb E-Mai-Ptogramm, um die Untersdlrilt überprüfen Zu können. Ande<nlati können Empfänger zwar die NachriChten lesen. ö'njnterschrift wird aber nur als kryptioche ober- und unterhalb der Nad>nchten bzl"'ils Anhang angezeigt Des könnte eng. Empfänger stören, dilher soten Sie st:h überlegen, ob ae ausgehenden Nachrt:ht unterschben werden solen oder ob,;ni;le Empfänger au'qenommen werden so n MOChten Sie, dass standardrna ae au'qehenden Nachrthten unterschrieben Wt r Ja. ich möchte ae Nachrt:hten unterschreiben r. rnei:_k!'_h:iiiif.i_"9.-e!!!1!@::::viinn6:_en" - üpenpgp in Verbindung mit Enigmail ermöglicht sichere Kommunikation mit Thunder- terter Form auch im Open-Source-Programm hping ( finden. Dieses dient zu ätzlieh als Port-Seanner, um "offene Türen" im System zu entdecken, es ermöglicht Firewall-Tests und einiges mehr. Schon mit dicscn einfachen Tools gelangen Sie an nformationen über Serverbetreiber (dig, whois), Standort (traceroute) oder natürlich überhaupt vorhandene Server (ping). Für au gefeilte Netzwerktests gibt es speziell präparierte Systeme in Form von Livc-CDs, dic etwa auch Pcnetrationstests ermöglichen, wie das hervorragende BackTrack ( tc-cxploit.org/backtrack.html), das allein über 300 Sicherheitstools beinhaltet, oder bekannte Schwach teilen konkretcr Sy tcmc entblößen, wie es Nikto ( mit über gefährlichen Dateien auf über 900 Server-Versionen leistet. Weitere nforma- tionen finden Sic im Kasten "HaekingKomplettlösungen". An dieser Stelle möchten wir es bei den Verweisen auf Live-Systeme belassen; im Netz finden Sie aber überall ordentliches Grundlagenwissen zum Thema Netzwerk. Einen neue ren interessanten Aspekt möchten wir hnen aber noch kurz vorstellen: Haeking via Google. Google-Hacking Beim Googlc-Hacking geht e darum, mittels kreativer Anfragen über die Googc-Suche geheime oder nicht öffentliche nformationen oder Dateien zu entdecken. Google-Hacker (www. computec.ch/download.php?vicw.483) etwa basiert auf diesem Prinzip und teilt chlichtweg vorbereitete GoogleAnfragen zur Verfügung, die beispiels- bird DVDs mit VLC rippen Der VLC Player (auf Heft-DVD) ist eindeutig eines der verkanntesten Multitalente im Software-Universum: Das Programm kann nicht nur Dateien abspielen, sondern ins Netz streamen, Videos mit etlichen Effekten und Optimierungen versehen und eben rippen und konvertieren. m VLC-Jargon werden Dateien grundsätzlich gestreamt, nur eben wahlweise in eine Datei. ins Netz od r ins ig n Wi d rgab f nster. Ab r Vorsicht: VLC enthält die Bibliothek libdvdcss und behandelt DVDs daher schlicht als Ansammlung von Datenblöcken (siehe auch den Abschnitt "Kopierschutz" im Haupttext) und nimmt entsprechend keine Rücksicht auf etwaige Kopierschutzmechanismen das überlässt die Software hnen! ehe Optionen manuell über das Profil "Eigenes" fest. Klicken Sie nun auf "Sav ': Tipp: Wenn Sie den Clip, den Sie rippen, gleichzeitig anschauen wollen, setzen Sie ein Häkchen bei "Lokal wiedergeben': 4. Nun erscheint das gewohn-.jqj2!.j te Player-Fenster und nach der Modlen Audb Vkloo "'-gabe Wled<rllolbcl5l. Ex J. regulären Abspielzeit finden Sie 14 11'11.'1 die fertig gerippte/konvertierte.:d..!d.!!!j dj Datei im gewählten Verzeich1Sr J.:O/l:03:0? nis..!!l 1. Um eine DVD auf den Desktop zu rippen, legen Sie sie ein und wählen den Punkt "Konvertieren/Speichern" im Menü.Medien':.JQJ2!.J _ Audb Vkloo "'-gilbe Woed"'lolbcl5lr Ex dfool._ CtrhO 1- _ AdVilllCrd Oprn Fe... L. O<d... oll... Cb1 F MedUm ö1non... CtT\<0.oox... N""""'k ofnrn...,jlt 00:00/00:00 ctjlo.n Offntn.., ctrt.c 2. Wechseln Sie im nächsten _.. -, Fenster zum Register.Volume" und setzen Sie vorzugsweise ein Häkchen bei "Keine DVD Menü benutzen", da Sie diese bei einem gerippten Film in der Regel nicht benötigen. Gegebenenfalls sollten Sie noch Starttitel und -kapitel angeben. Klicken Sie nun unten auf.konvertieren/ Speichern': 3. m Fenster.Streamausgabe" müssen Sie nun festlegen. in welchem Format der Clip später vorliegen soll. Wählen Sie dazu etwa das Profil.H264", um ein gutes Resultat im gängigen Qualitätsstandard zu erhalten, oder legen Sie sämtli36 - '" Ophcrack (auf Hcft-DVD) erledigt im Grund den gleichen Job wie John the Rippcr, ist aber komfortabler und als Liv -CD verfügbar, dafür aber weniger schlank. Außerdem nutzt Ophcrack Rainbow Tabl s (vorberechnet Hilfstabellen zur Entschlüsselung, siehe auch Abschnitt Passwörter im Haupttext), die gerade bei komplexeren Passwörtern einen enormen Performance-Schub geben, ohn den der Crack-Versuch unter Umständen scheitern würde. D r große Unterschied ist also. dass John the Ripper via Bruteforcing (ausprobieren aller möglichen Zeichenkombinationen) oder Wörterbuch (ausprobieren aller Einträge einer Wortliste) attackiert und Ophcrack die Sache mittels komplexer Berechnungen angeht. (Allerdings verfugt auch Ophcrack über ein Bruteforce-Modul für einfache Passwörter.) 1. nstallieren Sie zunächst die Windows-Version und laden Sie sich die Rainbow Tables "XP Free Fast" von der Website in den Ordner,'/ophcrack/tables" herunter. '" :;J t:-..,...,.,"'" ,,-'" ""'". '",,,, >S U:,'! 't'k... t. <.., Systempasswörter mit Ophcrack entschlüsseln 2. Starten Sie nun das Hauptprogramm und wählen Sie das Register.Preferences". Hier sollten Sie die Anzahl der Threads mit dem ersten Schieberegler an hre CPU anpassen; fü r zwei Kerne empfehlen sich drei, für vier Kerne fünf Threads. l!r.tt3m'@ljll

10 wei e nach Standardnamen von Passwortdateien oder üblichen Bezeichnungen von Finanzunterlagen fahnden wobei Sie derartige Anfragen vor allem als Anregung für eigene deen nutzen ollten. m Anschluss an diesen Artikel finden Sie einen Beitrag zu un erer exklusiven Version de beliebten Tools Googlc Hacks, mit dem Sie Mu ik- und Audiodateien, Programme oder auch Patches für Spiele finden können; dort finden Sie au h weitere nformationen zum Prinzip Googlc-Hacking. Übrigens: Die Google-Suche ist ein weitere Bei piel dafür, da es darauf ankommt, wie genau ein Programm genutzt wird, schließlich würde Googlc niemand unterstellen, da größte illegale Cracking-Too! aller Zeiten zu betreiben...,., NirSoft-_re_: MalnPage... Sürch FAQ TOP 10 Unk. Awards PMt File. Contect o About... fdll--l.s Kommunikation Dic grör3te Sorgen machen sich PC- 3. Klicken Sie nun im Hauptfenster auf.tables': 'OtA:Joll 'Ol:V::.!<l.lC'ffivt l'a:nlollc.lc'ml ra:n ::::;:<1"" Ml:fl -.-.! "'.t.-/t... r..e ll.a...-."'''101',," t.l Bruteforce-Attacken mit John the Ripper durchführen 5. Suchen Sie nun das Verzeichnis, in das Sie die heruntergeladenen Tabellen extrahiert haben, und bestätigen Sie den Dialog. '"'-- -' "r 6. Wieder im Hauptfenster, wählen Sie "Load/ Local SAM", um die lokalen Nutzerkonten auszulesen. (Alternativ könnten Sie mit der Option PWDUMP file" auch wieder eine Textdatei erstellen, wie es fgdump bei John the Ripper macht, oder sich auch an den Konten eines anderen Rechners im Netz versuchen.) lood 1'cqleS$ A) l. Dd91j 5b3tisb:s 111 lrl, L <:."" Tobles Sove Hdl P,eference::;, ;.fr.-.j.-r. 4 --r l,,,,r, C.(JF-r r- -A..t'd :):de_':.) ' '::ct Hl'"vl",pn'.. ft'r.test OFC5A6BE79C6 test2 02D6B7EA1S. _l lll 1 l >' l:-;l ';.l-.' Es gibt viele Tools und Möglichkeiten, Systempasswörter - sei es für UNX oder Window - zu cracken. Das wohl bekannteste freie Produkt ist John the Ripper ( nwall.eom/john). das hnen bei verlorenen Systemzugängen beste Dienste leistet. Neben John benötigen Sie noch das Programm fgdump, um das Windows-Passwort zunächst aus der SAM-Datenbank (SAM a S urity Aceount Manag r) in ein Textdatei zu extrahier n. Der Einfachheit halber entpacken Sie fgdump einfach in das Verzeichnis./john/run", in dem sich auch die ausführbaren John-Dateien befinden. John the Ripper (auf Heft-DVD) ist ein Bruteforce-Tool, probiert also alle möglichen Kombinationen von Zeichen eines bestimmten Zeichensatzes aus, und kann alternativ eine Wörterbuch-Attacke durchführen. 1. Öffnen Sie die Kommandozeile, wechseln Sie in das Verzeichnis./john/run" und starten Sie fgdump per Eingabe von.fgdump': Sie sollten eine ähnliche Erfolgsmeldung wie im Bild bekommen. SA'i0365DAffiBf Wenn Sie nun den Ordner.run" im Explorer öffnen, sehen ==.,...:.._>w_ Sie drei von fgdump generierte <A<>=H' Dateien, von denen die l.pwdump" das ge""' wünschte Passwort enthält. ( steht immer für den lokalen Rechner.)._ st die Auswahl reduziert, starten Sie per Klick auf.crack" die Entschlüsselung. 9. Nach nur wenigen Minuten "'9"''' "'t"" P,"",,,,,, sollten Sie wieder den Klartext LMfll.AA: l T T der Passwörter sehen. Hier im t23pass Bild sehen Sie auch, dass nicht nur das extrem simple Passwort test, sondern auch das schon deutlich komplexere 123Passwort gefunden wurde. Während test noch mit dem normalen Bruteforeing in kurzer Zeit gecrackt werden könnte, muss 123Passwort schon mithilfe der Rainbow Tables berechnet werden - bei Versuchen ohne Tabellen bleibt der Schlüssel im Test verdeckt. Copyrighted Material.xPf,,,ull lct'io:d \.",,", 7. Ansch ließend sehen Sie wieder die lokalen Nutzerkonten, hier sollten Sie allerdings die nicht relevanten User markieren und löschen, schließlich dauert der Crack auch so schon lange genug. Eine gute Quelle für Passwortund Netzwerk-Tools ist Nirsofl (leider unfrei. teils aber mit Sourcel Nutzer meist über Angriffe auf ihre Kommunikation, also im Wesentlichen U, 4. Wählen Sie im folgenden Fenster den ersten Eintrag "XP free fast" und klicken Sie auf nstall....;...,_......lo_"'::::;; irsoll web sire pro\idcs uniquc colle<jion of small 8ld useful, all of Ulcm dcvclopcd by.' f)'ou are 1ookiD8 fot pa sv..ord-recove"ry tool t c:lick l". fyou are looking far..twork tool click h.f'. To view your 1P address ancl other information,. Ta view 811 major P address blocks BSsip1ed to YOU" country. dick hre. To read be 13log of 'rsoft, click h.r. fyou baye 0 sofiware-i' Web si e, ancl you wan 10 odd tbe!teewore utilitie provided by irsoll, ilid.llm f you can'l fmd whol you need in my entire utilities colleclion. you can check my ft" page, whieb conlaias shareware urilities offered by other vendors, some ofthem \,,;tb special discounl Bog suchen: Fertil.. L..,...,, "'''''',. ""', 'W,(f"ol 'Glll»Fo..OG.o.1 -- ;.",,; li5 t1,12oz0090 fei.1,1x\l" l! l:7.!2.=ljd'j:j :»!,tl16.1 ;U7ill Ot!St 37

11 s, aber auch nstant Messaging odcr VolP. Die schlechtc achricht: Wer sich im gleichen Netzwerk aufhält wic Sie, kann Passwörter für Mailaccounts und Ähnliches häufig aus dem etzwerkverkehr heraussnitl'cn (schnüffeln), beispielsweise mit den Werkzeugen dcr Livc-Distri BackTrack, wozu c ein entsprechendcs Video auf Metacafe gibt: /hacking_ _passwords. Die gute Nachricht: n hr privates Konto von Anbietern wie Googl oder GMX kann sich ein Cracker in der Regel nicht 0 einfach ohne hre Hilfe einhacken - Sie müssten schon Einladungen (unbekannter Quellen) annehmen, auf Phishing-Sites hereinfallen, Malware auf hrer lokalen Maschine installieren oder natürlich ein zu einfaches Passwort wählen, das per Bruteforce-Attacke geknackt werden kann. Ein extrem simple PHP-Skript, um per Wörterbuch oder Brutcforee ein Google Mail-Konto zu knaeken - natürlich bitte nur hr eigenes - finden Sie unter ource-code gmail-brutcforcerphp-script.html; für das Skript benötigen Sie einen lokalen Webserver, etwa Xampp ( mit aktivierter Curl-Funktion in der "php.ini"-datei. Das Skript ist langam und fehleranfällig, demonstriert aber, wie einfach Bruteforcing auch im Netz ist. Tests auf Sicherheitslücken bei M, VoJP und Ähnlichem laufen meist auf das Abfangen, Analysieren und gegebenenfalls Manipulieren von Paketen des Netzwerkverkehrs hinaus. 3. Sie können die Datei mit einem Texteditor öffnen und sehen dann die lokalen Nutzerkonten und falls vorhanden den Hash des User-Passworts, hier blau markiert (genau genommen handelt es sich hierbei um zwei verschiedene Hashes, was hier aber nicht weiter interessiert). [;)tri ;\ f.n".6tn :t!. ollgl. Das i t zwar mit Tools wie BackTrack, Wireshark oder dem - leider nicht quelloffenen - Cain8:Abel machbar, erfordert letztlich aber eine Menge etze, Protokolle, Know-how über Unix und Standardsoftware, das wir elbst im gesamten Heft nicht unterbringen könnten. Die Gegenseite, dic Absicherung, ist schneller erklärt: Verwenden Sie gute Passwörter und Verschlüsselung. s können Sie im Grunde recht impel mit der freien PGP-mplementation GNUPG (www. gnupg.org) und dem zugehörigen Thunderbird-Plug-in EnigmaiJ ( enigmail.mozdev.org) verschlüsseln. Für VolP stehen allerhand Clicnts, Server und sonstige freie Tools zur Verfügung ( vicw/opcn+sourcc+ VOJP+Software) rauf hinweist. dass das Ausführen von Software auf hrem System Änderungen hervorruft (im Arbeitsspeicher, temporären Ordnern etc.), wie bei jeder anderen Anwendung auch, nur dass dies bei forcnsi ehen Analysen nicht erwünscht ist; daher ist der Live-Modus (siehe nächster Workshop) zu bevorzugen. Akzeptieren Sie die Warnung. 2. Wählen Sie im Startfenster das Register.Forensics". DEFT ';.l,rm:,jt",;::.j. P l,,j,'!1 4. Wechseln Sie wieder in die Kommandozeile und starten Sie den Ripper mit der Eingabe.john-386.exe pwdump", um den CrackProzess im Standardmodus zu starten. Datenrettung mit Deft/Recuva Die live-cd Deft haben wir hnen bereits im Kasten zu live-systemen nähergebracht, nun möchten wir hnen in den nächsten beiden Workshops Beispiele rur den Umgang damit näherbringen. Eine Besonderheit des Linux-Systems ist dass es auch einen Bereich gibt, der unter Windows läuft und eine ausgefeilte Toolsammlung bietet. Binden Sie dazu einfach das SO-mage, zum Beispiel mit dem sehr guten Gizmo Drive (leider nur Freeware). Anschließend können Sie wie folgt bei pielsweise gelöschte Daten retten. Ein Hinweis noch: Wenn Sie Daten von einer Festplatte retten wollen, sollten Sie die entsprechende Software nicht auf dieser installieren oder überhaupt Veränderungen an der Platte/Partition vornehmen. dem Windows-Part, begrüßt Sie zunächst eine gewaltige Warn meldung, die lediglich da- 38 c,""'" 1"",',.,1'1 3. Hier finden Sie einige praktische Tools inklusive Kurzbeschreibung; starten Sie.Recuva". 5. Wenn Sie ein einfaches Passwort gewählt haben, in unserem Fall TEST, sehen Sie meist schon nach wenigen Minuten/Sekunden den zum Hash passenden Klartext. Für weitere Optionen zum Cracken geben Sie einfach.john-486.exe" ohne weitere Parameter ein. 1. Beim Start von Deft Extra,. - P""l'...,,"tu./'!... -" 'io.' Oh'Ll W"", lod',..,.". """...."'.. -,...,.. ".. ' n."' 'l_""th..,.'''',.,..'''.tn' n.,... ".. "..... '''_j 'h., o."'".. 1'\""<'.',,... '... U"',t.-..p.ol;j '''01,''1,,,,.',. "' n y '''h.plo''',llo'..-'b U'...".. ',, h...,... J'-'..,... """"'-, "rl 111,,_1..,. 'Jfn r.". "'" "l'.., "".,,"',., - 4. Recuva möchte per Wizard starten, wir bevorzugen hier aber den regulären Modus und beenden mit,cancel': welo:...c! lo lila RcclNE wi2tln1 1..,... "d"''''p.,tt.l'p"ddmlldflll!l;ull.l... J(otrA9:(l"lt«l4lX41;tT't!il: ll'1'l'udlr\-«lt:!"iah;...pr;oo_c... =yofj""""lt:ml:l!d\o:od.rod'e.ow.relfli 5. Klicken Sie in der Hauptoberfläche zunächst auf "Options':.Prt.1.,,,"il..,,U< -J Recuvaum 1. " --<,, rl-i.. "_ J ' " -. l!r.tt3m'@ljll

12 und nstant Me senger wie pidgin ( bieten oft interne Verschlüsselung. Und wenn Sie Angst haben, gute (lange, komplexe) Passwörter zu verge en, legen Sie ieh einfach einen Pa wort-safe mit KeePa an ( den Sie via nternet oder mobilem Gerät immer dabei haben könn n; alternativ geht auch KeePa X für Mac. Filesharing Viele (profes ionelle) Open-Soureder werden sich von der Filesharing-Szene, in der e mas iv um den Tausch kopiergeschützter Erzeugnisse geht, distanzieren, da im Allgemeinen durehau die Meinung vorherrscht, Lizenzen ollten beachtet werden - schließlich gilt das ganz besonders auch für Open-Souree- 6. nteressant ist hier der Punkt "Scan for non-deleted..." im Register "Actions". Mit dieser Einstellung können Sie Dateien auf formatierten oder beschädigten Datenträgern wiederherstellen, ansonsten werden lediglich regulär gelöschte Daten gefunden. 7. Wieder im Hauptfenster, Lizenzen! Dennoch gibt e klare Berührungspunkte: Zum einen ist der Austau eh von nformationen, Dokumenten, Software und so weiter die Grundlage freier Software und emule Et Co. dienen eben auch als hervorragende Distributionskanäle für legale nhalte; Linux-Abbilder etwa werden regdmäßig nicht nur über FrP- und HTPDownloads, sondern auch via ed2koder Torrent-Link angeboten. Zum anderen sind viele Tools au diesem Bereich Open Source. EMule, Ares Galaxy, Free Download Manager, FrostWire Die bekannte ten oder Sharaza: P2P-Clients sind allesamt freie Software. nteressanterweise bietet gerade diese Offenheit auch Möglichkeiten, die im Grunde sehr soziale dee solcher Tau ehnetze zu boykottieren: Mit den..., H.,..,..:1QJB Service... XAMPP Control Panel SCM Modules o o o o Status SV( Apache Running Stop 1 Admin.. SV( MySql Runn,ng Stop 11 Admin.. 1 SV( FileZilia Start SV( Mercury Start Rerresh Explore... dmln Admln,. Help Exit XA."!PP Co.ncrol Panel Version 2.5 C1. M.ay,. 2001) io"i.ndovis 0.0 Build 6002 P1,;;;:cform :2 Sen.-ice. itacl :2 Cur-ren-e Oir.c:eory: e:\x&%q)p nscall Direcory: c::\xu=pp S'C.il;US Check OK meisten Clients laden Sie zwangsläufig nicht nur nhalte herunter, sondern stellen sie auch anderen Nutzern zur Verfügung, damit nicht ein paar wenige Mit Xampp önnen Sie in kürzester Zeit und ohne Vorwissen Web-. MySQLund FTP-Server aufsetzen. an denen Sie gefahrlos mit Hacker-Tools herumprobieren können Forensische Analyse mit dd, Deft und Autopsy -""" "'" r r r r Nach CS Miami, New York und Buxtehude, warum nicht auch CS hr Zuhaus? Hier all rdings können Si Blutspur n aus d m Weg gehen und sich stattdessen mit unbedenklicheren Beweismitteln beschäftigen: Datenspuren. m Folgenden zeigen wir hnen, wie Sie mit dem Deft-live-System ein mage in den Authopsy Browser laden - in Management-System und Werkz ugkasten flir di prof ion 11 n Analysedaten. s;.iti]m}i1i1;i--dt';(&"i=- S\1Q1fEtob\'tefls 0Jf1ecllfdyolJowll:tmflcs QeepSr.an(inQ't!!SUR;51trneo) pstanfcfnolet'9dfl\os(fcfr&'..cwefyfrom edor rttedd.sbl :!.',.. wählen Sie die zu rettende Dateiart, hier Pictures, um Fotos 1_, 0, ::J a::j--'=--.j und sonstige Grafiken zu finn;d::!l.:;::;::====i.:--..:::;;,::",:;_;;"",,,- -" - den. Tipp: Klicken Sie mit der g ::::;;: :--:;'= Maus auf den Text üpictures 'j -:::;:"111 = können Sie eigene Dateiendun 'Windows'l' gen hinzufügen. Starten Sie S'" nun den Scan, um eine Liste 0 -'-.- «----von Dateien wie hier im Bild zu erhalten. RClCl,VQ..- g g.:::i:::-: g r== 1. Zu nächst müssen Sie aber ein mage erstellen. Das Standardwerkzeug zum Erstellen von Bit-genauen mages ist unter linux dd, das auch durch defekte Bereiche der Partition nicht gestoppt wird. Das Programm finden Sie unter auch für Windows. Starten Sie das Programm mit dem Befehl "dd --list", um eine Auflistung der verfügbaren Geräte mitsamt der zugehörigen Namen zu erhalten. 8. Setzen Sie Häkchen bei den Einträgen, die Sie wiederherstellen wollen, und klicken Sie auf "Recover': 9. Wählen Sie aus dem Standard dialog den Ordner zum Speichern der wiederhergestellten Daten. 2. n unserem Beispiel erstellen wir ein mage von dem 2-GB-USBStick (hier nicht im Bild). der als Laufwerk Feingebunden ist. Geben Sie dazu den (angepassten) Befehl dd if=\\?\device\harddiskvojume4 of=c:\speicherordner\usb-image.img --progress ein; "ir" und "of" stehen dabei einfach für Quelle und Ziel und per Parameter.--progress" sehen Sie später den Fortschritt, was ganz praktisch ist, da der Kopiervorgang einige Zeit in Anspruch nimmt. 1O. Sollten Sie auf dem gleichen Laufwerk sichern, von dem auch die restaurierten Dateien stammen, müssen Sie zu guter Letzt noch einmal eine Warn meldung bestätigen; anschließend beginnt die Verarbeitung. 3. Nun können Sie Deft von CD oder mage (in einer virtuellen Maschine) booten. Sollte es bei hnen ebenfalls zu den Darstellungsfehlern hier im Bild kommen, warten Sie einfach einen Augenblick, bis sich nichts mehr tut und drücken Sie mehrmals.enter", bis Sie folgendes Bild sehen. 39

13 das Risiko auf ich nehmen, Dateien zu po tcn, und die breite Ma e lediglich herunterlädt, was nach wic vor weniger kritisch ist. Da aber die Quellcodes offenliegen und auch User, die auschließlich augen wollen (so genannte Leeeher) nieht alle auf den Kopf gefallen sind, gibt es für die C1ients entprechende Leecher-Mods, also Modifikationen, die den Zwangs-Upload unterbinden. Und wenn das Attribut "böse für Tool jemals angebracht war, dann wohl hier, denn diese Leecher-ools beeinflussen die Quantität und vor allem Performance der P2P-Netze nachhaltig; ein guter Anlaufpunkt für Mods ist die Seite www. eba 14.org. Sie sehen also eine gewisse Zwiespältigkeit: Einerseits wären Filcsharing- etze ohne Open Source kaum denkbar (welches Unternehmen wäre wohl gerne der emule-hersteller?!), andererseits wären "a ozialc" Mods ohne Quelleode nicht möglich - es kommt also wieder einmal eher auf die Gesinnung der Nutzer denn auf die Tools elbst an. Paranoiker können übrigen auch auf Filcsharing aufdem eigenen System verzichten und stattdessen eine Live-CD, die zum sieheren Surfen ausgelegt ist, verwenden und falls nieht schon vorhanden - einen P2P-Client nachinstallieren; unter anderem bietet da Bunde amt für Sicherheit in der nformationstechnik eine olche CD, die sich mit zusätzlichen Tools auch remastern lässt ( Themen/ProdukteTool SecuritySurf CD/securitysurfcd_node.html). Desktops Zum Schluss nochmal ein spannendes Sammelsurium für den Desktop, denn auch hier können Sie allerlei Tool anwenden, die nicht nur für ehrbare Aufgaben geeignet ind... Fangen wir doch einfach mit der umfangreichen Überwachung eines Rechners an: Das mächtige Tool PyKeylogger i t ein in Python geschriebenes Überwachungswerkzeug, das, einmal installiert, unauffallig im Hintergrund läuft und fortan sämtliche PC-Aktivitäten protokolliert. Py Keylogger zeichnet alle Ta taturanschläge aufund speichert diese in einer Text- og-datei erstellt in festgelegten ntervallen Screenshots des gesamten Bildschirms und zusätzlich noch Detail-Screen hots zu jedem einzelnen Mausklick, hält fest, welche Pro- 4. Nachdem der Sta rtbildschirm weggescrollt ist, sehen Sie den Prompt. Starten Sie die grafische Oberfläche einfach mit dem Kommando.startx': 5. Starten Sie nun Autopsy Forensic Browser über das Startmenü und erstellen Sie einen neuen Fall über den Button "New Case': Creatlng Case: USBl AcoHOST Elill fdlt '"' "-=-' 11. mlk l:!o1p o 1._JJ'lO('11!'1T.'lll/tOpy 6A:utopl.yfonMll:Bn::l:w:r hqlg,qc'"",.'allx:f5y:rmod=05oiew=l!i ["'-"Mn;;=r(GigQlocr.UC',..Ml -:; 7. Klicken Sie im nächsten Fenster auf.add Host", um einen Rechner hinzuzufügen. 8. Nun dürfen Sie wieder Namen und Beschreibungen vergeben; die restlichen Felder können Sie in unserem Beispiel ignorieren. Fahren Sie fo rt mit "Add Host". esse directory (root/evidence/usb/) erealed Configuralion file (root!evidence/usb/case. aut) erealed We musl now ereale a host for hm ca... Please select your name from the llst: nvy 1. Hoal "'me: The nameolm amlpul beng MlitQaled.ncan oonlar1 only latters" number".nd tymboll. 11.0, 2. o..crtptjon: An optlonal ooe- dexripbon or nole about hll computer. alerchne..,,, :":o:c;:a1:::s:'c":.: compe1lslte, fc) r t"':t'klt.org./ful(1!!iv 5. Path o' Alert...h Dtb...: M bo hash dallbase of own blk tl;el. 6. P.th ollgno.. twah Olt.be..: An aptaru. 1l11ih database 01 known good f;181io...,.-.. CRAN!:WCA2,. Ca..N...: TtM! "Ulme at' h. wmjglltor.. tm CD..l\lLn cmjy Jet4r., t1lahtm!rs,!d USil 2. DltctlpUon: An oaol'l*l. N lg!'cf... tlle U'5B-SUdc_wifl' J. nw"'plor PU.,..: TlN ap:ton.-j rwnll!ll fwth no 'OQ) af0. -, lfsi;.ldl"llan , 11'r, ';;;iiiiiiiiiiiiiiiiii==. c, -==-==o:=: e"';;;;;====-i 9,.. ;=,==== J. h'r===== -' 6. Vergeben Sie möglichst aussagekräftige Namen und Beschreibungen für hren ersten Fall, also beispielsweise "Verbrannter Rechner", und fügen Sie einen nvestigator, also einen Untersuchenden, hinzu. Sie sehen schon, das Programm ist durchaus für professionelle Einsätze konzipiert Nun ist es Zeit. das per.dd" erstellte mage zur Analyse bereitzustellen; klicken Sie auf "Add mage': 10. Da dies hr erster Autopsy Start ist, klicken Sie noch einmal auf "Add mage File': Adcllng host: Lokal. to case USBl Hosl Oirectory (lroot/evidence/usb/lokal/l erealed Configurafion file (lroot/evidence/usbl/lokallhost. autl erealed We musl oow import an mage file for lhls hast i LMTYnMl:U No images have been added 10 th;s hosl yel Select the Md mage File button below 10 edd one V1cwNaTa ADD MAGE FL H... MAGE NTEGUrv Ca..c.KHOST HASHDAT... EvllENT S&QUlENCER 40 l!r.tt3m'@ljll

14 gramme und Webseiten geöffnet wurden, und läuft sowohl unter Linux als auch unter Windows. Sie bekommen also einen sehr detaillierten Bericht darüber, was der U er macht, schreibt. besucht und, freilich, welche Passwörter er benutzt! Zum Ein atz kommen derartig perfide Mechanismen etwa auch in kommerziellen Kinderschutz-, oder sagen wir -überwachungsprogrammen. Damit Sie nicht jedes Mal an den infiltrierten Rechner müssen, um die Logs einzusehen, kann PyKeylogger diese automatisch per Mai! an Sie senden - ebenfalls in Fe tgelegten Zeitintervallen. Die gen aue Einrichtung zeigen wir unten im Workshop. Was aber nun, wenn Sie an Daten eines nicht derart präparierten Rechners herankommen müssen? Nun, dann dürfen Kein schöner Anblick: Kommandozeilenprogramme sind im Security-SeklOr nicht zu umgehen. sodass sich auch Window$-Nutzer mit der unter Linux völlig normalen Shdl anfreunden müssen Sie sich zunäch t mit der Mutter aller Hacks beschäftigen: dem "Einbruch" ins System. Windows- und Linux-Passwörter finden sich in verschlü selter Form auf der Festplatte und Tools wie das bereit erwähnte John the Ripper können die e versuchen zu entschlüsseln. Unter Windows liegen Passwörter allerdings nicht ofort al Datei parat, 11. Kleiner Exkurs: Der Datenträger, auf dem das USB-mage liegt. muss zunächst eingebunden werden. Starten Sie dazu aus dem Startmenü den MountManager und binden Sie die betreffende Festplatte mit dem Mount Point,,/mnt" ein. Fortan können Sie auf die Dateien der Partition, hier im Beispiel sdat (Festplatte a, Partition 1), zugreifen. ondern müssen zunächst aus der Regi try-datenbank ausgelesen und gedumpt, d. h. als Textformat gespeichert, werden; eines von vielen Kommandozeilenprogrammen dafür ist fgdump (wwwjoofus.net/fizzgig/fgdumpl, das auch auf entfernte Rechner angewandt werden kann. Komfortabler und sy temübergreifend geht das Ganze mal 13. m nächsten Fenster sollten Sie L0C81...: lmegewusbjmg CMl n'-grity: An ADS hain n bt ustc kl W'lfV lho ln:loqrfy d hl im un teren Bereich ""... tl.l'lh.torhlullimlqll, g'1ll ohclp'luhvllajojclfth.lrmgo.. unter.file System CCJlf thf hes"l...l/e or t!' 1mlgO, Detail' Angaben!2!!: 1M folk7w1ng UDS hah v. tor f. 11l'1J': zur gefundenen Partition finden. st Fle System lloll. dieser Bereich leer, Anatrs/S ofn l1'lroe f11e tho'ws 'f;.1ono j)lubm versuchen Sie im vorigen Schritt statt '&11.lon 1 (Type: t16) McuttPm1t "Partition" die Einstellung.Disk" beziehungswei e umgekehrt. Den oberen MDS-Bereich können Sie ignorieren. "ft&go MounUng of p.utlon ldevl5d.l Otomoun[ptwM:,p1r.[_==-, ,... PO '" SJ M9660 Mount p(lnrlse tne P"OQrin "Oump" VilJ@'olheprogram 'Fsd:'. '01' sy5tem n&crdt:kh'1 ro-l: r"sko.6v;luq;lljonl, Option&;.. LAll op:ions.a dehult Gernl,.1 U l Advanu!C Upd.ll MlM l[cms _!' tm!li!dlo au::ti5 1 r 12. m nächsten Autopsy-Fenster.loc.llon Enter the full path (starting with ) t<l he image file. geben Sie nun "the image is sprit (either raw or EnCase), hen enter ' forthe extension. genau diesen mmt/usb.im Pfad bis zu hrem 2. Typ. mage ein. n unpesse selocllf hls mago f1o 1s tclr a dlsk C1r a s,lngle parlillan. serem Beispiel!- Disk Partilion haben wir die 3. l"1>ort Molhod Datei "usb.img" Ta anatyze the mage file. it must be kx:ated n the evidence locker, t can be mporti current ocation using a svrnbo c link. bv copying it. Qt by moving it. Note that if a sv' im Wurzelverfallure occurs during lhe move. then the mage could become CC1rupL zeichnis der Par Symli.nk Copy MQve tition sdat gespeichert, der Pfad ist hier also./mnt/usb.img': Wichtig: Geben Sie unter.2. Type" unbedingt korrekt an, ob das mage eine Partition oder eine komplette Disk abbildet. n unserm Beispiel funktioniert Autopsy nur mit der Einstellung.Partition", obwohl eigentlich der gesamte Stick gespeichert wurde. 14. Falls Sie hrem Fall keine weitere Partition hinzufügen wollen, bestätigen Sie das nächste Fenster mit "OK': TeRngrtllgnl Ul'Wl'lOlm.(t'O.wstn::.1odo.er m.ll'lo::tjlwlhdl'ql Yakrnclm.ga(OoO C:a:kMldw 15. n der Übersicht sehen Sie nun die eben geladene Partition und können die Analyse per Klick auf,.analyze" starten. "... e-. 1)\10\1.....M 16. Nun dürfen Sie endlich, etwa per Klick auf,file Analy-..,sis", mit der Untersuchung anfangen und die Daten erfor-!:.!ll schen, gelöschte Dateien über,.a Deletet Files" einsehen und (0'."' 1...,_.101'. so weiter. Selb terklärend i t der Umgang mit dem Tool nicht wirklich, aber sowohl der Autopsy Browser als auch das Sieuth Kit sind an vielen Stellen im Netz dokumentiert. Wichtiger: Die Themen Dateisystem und Forensik sind im Netz gut abgedeckt und ohne Hintergrundwissen lässt sich keine professionelle Arbeit verrichten. Dennoch: Die größten Hürden haben Sie genommen - die (weniger spannenden) Vorarbeiten -, alles, was jetzt noch kommt, ist spannende Polizeiarbeit der Mattscheiben-Heiden von CS Et Co. oder zumindest von deren T-Kollegen... " ---_

15 Auch hilrmlose Tools wie Sun VirtuillBox werden für "böse" Zwecke missbriluchl - etwa. um Limitierungen von Demoversionen zu umgehen 0..., 11il..."' O-""''ll1 - ""', _""- GaSlbet:r,f" 9p'Un':,...."st......vr...,...,., f'r0lftjl0r..,: Jl/AM) 1 0i:kettt. CD(DvtHtOM.. pqne HegdP'J'U; wieder mit einer Live-CD; im Workshop..Systempasswörter mit Opherack wicderherstellen" zeigen wir hnen, wie. Wenn Sie einmal Zugriff haben, können Sie natürlich auf die regulären Datcn zugreifen, aber auch gelö chte Daten, Dateien auf teilweise defekten Disks, formatierten oder gar gelöschten Partitionen sind mit den richtigen Tools nur ein paar Klicks entfernt. Die LiveCD NSERT ( NSERT.html) beinhaltet eine ganze Reihe nützlicher Tools, um Partitionen und Dateien wiederherzustellen (Tc tdisk), Ruutkits zu entlarven (Ruutkit Hunter), defekte Platten/Partitionen fehlcrtolcrant Sektor für Sektor zu kopieren (dd_rescue) oder auch gleich Windows-Passwörter zurückzuerlangen (chntpw). Wa an Dateiwiederherteilung böse ein könnte, fragen Sie? Ganzeinfach: Menschen löschen Dateien, die niemand sehen soll, aber die wenigsten über chreiben sie mit einem Schredder! Und was nicht geschreddel1 wurde, ist noch lesbar; nicht einmal das Formatieren einer Festplatte zer tört die Daten tat ächlich! n den Anfangstagen von ebay war es daher eine beliebte Tätigkeit von Hobby-Hackern, Daten-Voyeuren und natürlich TJournalisten, gebrauchte Festplatten zu kaufen und den Datenbestand des Vorbesitzers wiederherzustellen. Da gilt OillbYltrt natürl ich auch fur Passwörter, gerade auch fur solche, die in Firefox oder im nternet Explorer gespeichert ind und im schlimmsten Fall Zugang zu Konten und Mailaccounts ermöglichen. Unter tool.html finden Sie allerhand Tools, um Browser- und andere hinter Sternchen (Asterisks) verborgene Pas wörter im Klartext zu ehen - teils mit Soureecode, aber leider nur unter FreewareLizenz. zen der einzelnen Szenen. Schwarzweiß-Denken ist da nicht angebracht, wohl aber eine generelle Unterscheidung von Hackern und Crackern owie ernsthaften Tools und solchen, die sich ausschließlich für kriminelle oder unmoralische Zwecke nutzen lassen. Statt uns aber mit einem moralischen Appell zu verab chieden, wollen wir noch ein letztes Beispiel dafür anfuhren, dass beinahe alle Open-Source-Tools kombiniert mit Neugierde zu grobem Schabernack verführen können: Sie kennen Trialversionen kommerzieller Programme? Früher wurden die üblichen zeitlichen Beschränkungen, meist 30 Tage Laufzeit, einfach durch Umstellung des Systemdatums überwunden (ob die Datierung einiger Word-95-Dateien des Autors dieser Zeilen auf Mitte der Siebziger der Beweis daflir ind, lasen wir mal offen). So einfach geht es heutzutage zwar in der Regel nicht "Der zunehmenden VerbreiAlle in allem lä t tu ng von Bots liegen zwei ich also feststelfaktoren zugrunde: finanziellen, dass es durchaus einige Prole Motivation und die Verfüggramme gibt, die barkeit von Quelleode." sich mit der fal r Muttik, $eniol Research Architect bei McAfee A... elt Labs, ' ehen Attitüde als te...papers,llhreau:enter'mcafee_9u_vll_de.pdf. Waffen einsetzen Quelle McAfee lassen - teils sogar, ohne wirklich tiefgreifende Spezialkenntnisse zu benötigen. Allerdings, mehr, aber was meinen Sie, was paswer nun glaubt, mit den richtigen Tools iert, wenn eine solche Demoversion in einer Windows-nstallation unter Suns umgehend zum rfolgreichen Cybergangster oder Sicherheit peziali ten freier Virtualisierungslö ung Virtualzu werden, der liegt gründlich daneben: Box installiert und die Maschine nach Tools schaffen lediglich Scriptkiddies, 31 Tagen wieder zurückgesetzt wird? erst Hintergrundwissen Spezial i ten. Genau! Wie häufig die SicherheitsGenauso tließend wie die Grenzen zwimechanismen der Demohersteler veragen, ist schon, sagen wir, überschen Malware, Sicherheitssoftware raschend! und Hacker-Tools sind auch die Gren- Kommentar: Verboten! Verboten? Na ja Die vielen Diskussionen um den so genannten Hacker-Paragrafen (der den Zielpersonen angemessen eher CrackerParagraf heißen müsste), "wirksamen" Kopierschutz und so weiter sind schon nervig - vor allem dank schwammiger Formulierungen und Ungereimtheiten. So wird kurzerhand.wirksam" weitgehend mit "existent" gleichgesetzt oder es werden Tools illegalisiert, deren Hauptzweck etwa das Umgehen eines Kopierschutzes ist. Nur, wenn ein Tool wie VLC so etwas via libdvdcss-bibliothek ermöglicht, ist es zweifellos kein Hauptzweck, sondern nur eine von Dutzenden Funktionen - und auch noch eine der unbekannteren. st das Programm hingegen ein reiner Ripper wie Handbrake, kommt das Tool gleich in Verruf. Stellen Sie sich vor, man würde einzelne Handfeuerwaffen verbieten, sie aber erlauben, wenn sie nur eines von vielen Tools eines Schweizer Taschenmessers wären - absurd! 42 Bei den "Hacker-Tools" sieht's ähnlich aus: Tools sollen verboten sein, sofern sie für Straftaten eingesetzt werden (obwohl die Taten selbst sowieso schon strafbar sind)? Würde das in der realen Welt bedeuten, dass Automobile, die etwa einen Bankräuber zur nächsten Sparkasse bringen ebenfalls verboten sind? Oder: Die Gestattung einer Privatkopie plus das Verbot des Umgehens eines (egal wie unwirksamen) Kopierschutzes plus der Verweis, dass dieses Umgehen zu privaten Zwecken nicht strafbar ist - Klarheit schafft das auch nicht sofort, oder? rgendwie scheinen Gesetzgeber, ndustrie und Diskutanten nicht das Ziel zu verfolgen, klare Verhältnisse zu schaffen, zumal: Den wahren Cracker interessiert das Ganze owieso nicht die Bohne! Und auch Sie sollten hre legitime, nicht destruktive Neugier nicht mit moralisch zweifelhaften Bedenken ersticken lassen. Mirco Lang, Freier Journalist l!r.tt3m@ljll