Cybercrime. Glossar Cybercrime

Transkript

1 Cybercrime Glossar Cybercrime 1

2 Index Cybercrime Angriff Backdoor Bootvirus Botnetz Brute-Force-Angriff DDoS, distributed denial of service DoS, denial of service Fast-Flux Fluten IC3, Internet crime complaint center Internetkriminalität ITW, in the wild Mailbombing Makrovirus Malware Man-in-the-Middle-Angriff Nuke-Attacke Phishing Ping-Flooding Polymorpher Virus Robot Smurf-Attacke Snooping Spam Spyware Stealth-Virus SYN-Flooding Trojaner Virus Wurm Impressum 2

3 Angriff attack Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen, Dateien und Programmen, oder wie beim Social Engineering zur unberechtigten Informationsbeschaffung. Bei den Angriffen unterscheidet man zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. Backdoor Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein 3

4 verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, sie spionieren interessante und persönliche Daten aus, ermöglichen die Manipulation von Hard- und Software und die Änderung oder Zerstörung von Datenbeständen. Backdoors werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bootvirus boot virus Wie aus der Bezeichnung Bootvirus hervorgeht, handelt es sich um Viren, die den Bootsektor von Disketten oder den Master Boot Record (MBR) von Festplatten infizieren. Sie überschreiben wichtige Informationen für das Booten, so dass das Betriebssystem nicht mehr gestartet werden kann. Bootviren übernehmen die Startfunktion und die Rolle der Bootroutine und ersetzen den Start im Master Boot Record und früher im Boot-Sektor auf Disketten. Bootviren waren in den 90er Jahren die am häufigsten vorkommenden Viren, sie waren insofern besonders hartnäckig, weil sie auch auf Disketten, die keinen Bootsektor hatten, übertragen werden und auf jede Diskette unbemerkt kopiert werden konnten. Botnetz botnet Die Bezeichnung Botnetz ist von Robots (Bots) abgeleitet. Ein Botnetz ist ein verteiltes Netz mit vielen an das Internet angeschlossenen Computern auf denen Robots laufen. Die Robots eines Botnetzes werden von einer zentralen Stelle aus kontrolliert und aktiviert. Botnetze können durchaus legal sein und bestimmte Aufgaben übernehmen. Ein Ansatz für Botnetze liegt im Cybercrime, der Internetkriminalität. Bei diesen Botnetzen 4

5 Botnetz mit infizierten PCs 5

6 geht es darum viele Computer zu bündeln und gemeinsam ein Zielsystem so zu attackieren, dass es seinen Dienst versagt. Für dieses Ziel werden in Botnetzen viele Personal Computer ohne Wissen der Benutzer mit Malware infiziert und vom Botnetz-Betreiber zu einem großen Netzverbund zusammengefügt. Die Robots der infizierten PCs werden zentral vom Botnetz-Operator oder Bot-Master kontrolliert und aktiviert. Die Kontrollfunktionen übernehmen Command-and-Control-Server (C&C). Der Botnetz-Betreiber nutzt dadurch die Rechenleistung und Ressourcen hunderter oder tausender mit Robots infizierter PCs. Er kann auf Befehl Rechnersysteme, Unternehmensnetze oder ganze Metropolitan Area Networks (MAN) so belasten, dass die Sever ausfallen. Dazu werden alle infizierten PCs so gesteuert, dass sie gleichzeitig DoS- und DDoS-Attacken oder ein anderes Flooding auslösen, Viren verbreiten, Mail-Server mit Mailbombs oder Spams traktieren oder Mails für das Phishing versenden. Um die Serveradresse und dessen -standort zu verschleiern, arbeiten Cyberkriminelle mit Fast-Flux, einem Mechanismus bei dem sich der Domainname permanent in kürzester Zeit ändert. Solche Botnetz-Dienste werden häufig von Cyberkriminellen geordert und können einzelne Rechner, ganze Rechnersysteme, Netzwerke von Unternehmen und ganze Stadtnetze fluten, ohne dass Gegenmaßnahmen ergriffen werden können. Brute-Force-Angriff brute force attack Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten 6

7 Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64- oder eines 128-Bit-Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre. DDoS, distributed denial of service DDoS-Attacke Aufbau einer DDoS-Attacke Ein Distributed Denial of Service (DDoS) ist eine DoS-Attacke, die im Verbund von vielen Computern aus erfolgt. In der Internetkriminalität wird sie häufig in Botnetzen ausgeführt. Die DDoS- Attacke wird zum gleichen Zeitpunkt von verschiedenen Computern ausgelöst und ist dadurch nur schwer zu orten und noch 7

8 schwieriger zu unterbinden. Wie bei der DoS-Attacke wird der attackierte Computer bei der DDoS-Attacke mit fehlerhaften und vorsätzlich falsch adressierten IP-Paketen bombardiert, und zwar so intensiv, bis der angegriffene Server seinen Dienst einstellen muss oder abstürzt. Die Koordination der DDoS-Attacken erfolgt vom Angreifer bzw. vom Botnetz-Betreiber aus, der die auf den infizierten Botnetz-Rechnern abgelegte Malware, Spams oder Trojaner gleichzeitig aktivieren kann. Da die eigentlichen Attacken über die vielen Botnetz-Rechner ablaufen, ist der Verursacher schwer zu ermitteln, zumal häufig auch noch mit Fast-Flux gearbeitet wird, wodurch sich die Domainnamen permanent ändern. Wenn die Attacke gestartet wird, werden die Hilfsprogramme gleichzeitig auf allen Agents aktiviert und starten eine DDoS-Attacke auf den Ziel-Server. Eine DDoS-Attacke kann ein SYN- Flooding oder eine andere DoS-Attacke sein. DoS, denial of service DoS-Attacke Denial of Service (DoS) sind Dienstverweigerungen, die im Internet zur Beeinträchtigung von Webservices führen, und die, als DoS-Attacke ausgeführt, einen angegriffenen Server oder eine Website außer Betrieb setzen können. DoS-Angriffe werden durch Überlastung von Servern ausgelöst, so beispielsweise durch die Bombardierung eines Mail-Servers mit einer Flut an Mails, durch millionenfache Anfragen an einen Server oder durch Überflutung eines Netzwerks mit Datenpaketen. In allen Fällen können die Funktionen wegen Überlastung der Server oder Netze nicht mehr hinreichend ausgeführt werden. Die Server sind nicht mehr erreichbar, die Netze können zusammenbrechen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder 8

9 Netzwerk- Ressourcen außerordentlich überbelastet, manchmal auch kollektiv von tausenden Nutzern. Ein DoS-Angriff kann durch IP- Spoofing vorbereitet werden. Der DoS-Attacken Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-Attacke auszuführen. Neben dem Mailbombing und dem Broadcaststurm, gibt es als weitere DoS-Attacken das SYN-Flooding, Ping-Flooding, die Smurf-Attacke, Nuke-Attacke und die DDoS-Attacken. Fast-Flux FFSN, fast flux service network Fast-Flux ist ein Mechanismus der von Internetkriminellen genutzt um die Identifizierung von Webservern und deren Standort anhand der IP-Adresse zu verschleiern. Der Fast-Flux- Mechanismus missbraucht dabei das DNS-System und erzeugt ein Botnet bei dem die Knoten so schnell hinzugefügt und abgeschaltet werden, dass sie nicht identifiziert werden können. 9

10 Fast-Flux nutzt die Vorteile des Load Balancing in DNS-Systemen, bei dem ein Server seine Aufgaben auf mehrere Rechner verteilen kann. Beim Domain Name System (DNS) kann der Administrator über einem einzigen Hostnamen mehrere IP-Adressen registrieren. Diese alternativen IP-Adressen werden normalerweise dazu benutzt, um den Datenverkehr zwischen mehreren Servern zu verteilen. Wobei sich normalerweise die IP-Adresse der Domain nicht oder nur selten ändert. Cyberkriminelle dagegen verstecken ihre Server indem sie das Timeto-Live-Feld (TTL) des DNS Resource Records auf eine Zeitspanne von einer Minute oder weniger einstellen und diesen Eintrag in kürzesten Zeitabständen ändern. Dadurch werden permanent wechselnde Domainnamen erzeugt. Außerdem sind die Domains von solchen Ländern, die noch keine oder lasche Gesetze gegen Internetkriminalität haben. Fast-Flux-Botnetze sind verantwortlich für illegal Praktiken und diverse Malware, wie das Phishing von Websites, bösartige, rechtsextreme und extrem jugendgefährdende Websites. Fluten flooding Bei DoS-Attacken und DDoS-Attacken werden für die Angriffe auf die Netzdienste verschiedene Flooding-Techniken benutzt. Alle Flooding-Techniken überlasten die zur Verfügung stehende Übertragungskapazität des Angegriffenen, damit der angegriffene Server die Anfragen nicht mehr bearbeiten kann. Man unterscheidet dabei zwischen dem PING- Flooding und dem SYN-Flooding. Beim Ping-Flooding oder beim Ping of Death (PoD) werden lange Requests oder überlange Fragmente an eine IP-Adresse generiert, die die gesamte Systemperformance benötigen. Beim SYN-Flooding werden fortlaufend Requests für die Synchronisation an einen TCP-Port gesendet. Auch hierbei wird das System überlastet und kann abstürzen. 10

11 IC3, Internet crime complaint center Das Internet Crime Complaint Center (IC3)ist eine Partnerschaft zwischen dem Federal Bureau of Investigation (FBI) und dem National White Collar Crime Center (NW3C). Ziel von IC3 ist es, Beschwerden über Internetkriminalität zu erfassen und staatliche, internationale und lokale Behörden und Institutionen darüber zu informieren, damit diese den gesetzlichen Verstößen angemessen zu begegnen. Seit der Gründung hat das IC3 Beschwerden über alle möglichen Cyber-Crime-Aktivitäten erhalten, darunter über Online-Betrügereien in den verschiedensten Ausprägungen, das Eindringen in Computer und Datenbestände, Wirtschaftsspionage, Online-Erpressungen, über Geldwäsche, den Diebstahl von Identitäten und vieles andere. Internetkriminalität cybercrime Internetkriminalität, Cybercrime, umfasst alle bösartigen Aktivitäten, die Personen, Computer, Datenbestände, Softwareprogramme und Kommunikationsverbindungen im Internet vorsätzlich beeinträchtigen, ausspionieren oder schädigen. Internetkriminalität ist der Oberbegriff für alle kriminelle Handlungen im Internet, sei es zum eigenen Vorteil oder zum Nachteil Dritter. Bei den in der Internetkriminalität benutzten Waffen handelt es sich um Schadprogramme, die von Hackern, Software-Entwicklern und Programmierern entwickelt von Hackern oder kriminell arbeitenden Personen eingesetzt wird. Die Palette der Schadsoftware, bekannt unter dem Oberbegriff Malware, umfasst die verschiedensten Programme und Techniken mit denen Computersysteme in ihrer Funktionsweise beeinträchtigt, sensitive Daten abgefragt, Computer oder ganze System gesperrt werden. Zu den Programmen gehören Viren, Würmer und Trojaner, das Flooding mit DoS- oder DDoS-Attacken, Spyware, Mailbombs, Spams und Hoaxes. Jedes dieser häufig äußerst intelligenten Schadprogramme hat eine eigene Zielsetzung. Daneben sind Botnets zu nennen über die gezielte Angriffe auf Unternehmensnetze mit tausenden von 11

12 infizierten Computer durchführen. Einige der genannten Schadprogramme befallen und infizieren Computer, bei anderen geht es um Identitätsdiebstahl und bei wieder anderen um das Ausspähen von Bankkonten und Kreditkarten und deren Zugangsdaten. Die Palette und die Art der Angriffe deuten darauf hin, dass die Schadprogramme immer intelligenter werden und von Softwareprofis programmiert werden. ITW, in the wild ITW-Virus Die Bekämpfung von Viren setzt voraus, dass deren Struktur bekannt ist. Aus diesem Grund werden alle bekannten und jemals vorgekommenen Viren, die in freiem Umlauf sind oder waren, als ITW-Viren (In The Wild) bezeichnet. Es gibt eine Auflistung von allen ITW-Viren, die in Datenbanken der WildList Organization International erfasst sind und dem Anwender auf der Wildlist-Website zur Verfügung gestellt werden. Insgesamt gibt es über bekannte ITW-Viren, von denen allerdings nur etwa ein Prozent stärker verbreitet war. Die Wildlist-Organisation, die bereits 1996 gegründet wurde, erhält ihre Informationen über Viren von qualifizierten Beobachtern, die weltweit agieren und aktuelle Bedrohungen durch Viren an die WildList melden. Die Wildlist-Liste wird monatlich aktualisiert. Mailbombing Mailbombing gehört zu den DoS-Attacken um Mail-Konten und Mail-Server in ihrer Funktion so zu beeinträchtigen, dass die -Adresse nicht mehr erreicht werden kann. Das Mailbombing kann auf verschiedenen Ansätzen zu Blockierung des Mail-Accounts führen. Beim klassischen Mailbombing wird der Mail-Empfänger mit einer Mailbombe regelrecht bombardiert. Dabei kann es sich um tausende oder zehntausende s handeln, die von 12

13 einem Botnet aus an die -Adresse geschickt werden. Das Herunterladen nimmt so viel Zeit in Anspruch, dass der Mail-Empfänger überlastet ist und korrekte Mails nicht mehr öffnen kann. Ein anderes Mailbombing-Konzept zielt auf den SMTP-Server, der die Mail versendet. Durch Einkopieren von vielen hunderten identischen Mail-Adressen als Carbon Copy (CC) oder Blind Carbon Copy (BCC) wird der Mail-Server durch die Generierung der Mails stark belastet. Diese Art des Mailbombing wird allerdings von den meisten Mail-Servern unterbunden. Die dritte Variante zielt wiederum auf den Mail-Empfänger und arbeitet mit großen Datei- Anhängen, die je nach Anschluss mehr oder weniger Zeit für das Download benötigen. Makrovirus macro virus Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation. Malware Unter den Oberbegriff Malware, was eine Wortkreation aus den Wörtern Malicious Software ist, ist bösartige Schadsoftware zu verstehen, die die IT-Sicherheit und die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS- und DDoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind und durch 13

14 Robots (Bot) übertragen und verbreitet werden. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antivirenprogramme und Anti-Malware-Programme sind oft nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann Bundestrojaner, der den Computer sperrt oder das 14

15 Unternehmen bereits geschädigt wurde. Eine bekannte Malware ist der Bundestrojaner, der Windows-Rechner komplett sperrt, so dass keine Funktionen mehr eingegeben werden können. Man-in-the-Middle (MITM) ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public- Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS. Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben. Man-in-the-Middle- Angriff MITM, man-in-the-middle attack Nuke-Attacke Nuke-Attacken zählen zu den DoS-Attacken gegen Computer-Netzwerke. Nuke-Attacken benutzen falsch fragmentierte oder ungültige ICMP-Datenpakete, Internet Control Message Protocol (ICMP), die zu einer Zieladresse gesendet werden. Diese Datenpakete werden zurückgewiesen und gelangen wieder zur Quelladresse, die sie erneut an die Zieladresse sendet. Phishing Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. 15

16 Postbank weist mit der gefälschten Home-Page vor der Gefahr des Phishing Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden s mit einem Link auf die gefälschte Hompage versandt. In diesen s werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Da das Phishing wegen dessen Vorgehensweise nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die 16

17 Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen wird. Ping-Flooding Ping-Flooding ist eine DoS-Attacke. Es ist ein gezielter Angriff mit dem die Systemperformance von Servern stark beeinträchtigt wird oder der Server abstürzen kann. Das Ping-Flooding arbeitet wie das Ping-Pong-Verfahren. Wobei beim Ping-Flooding der Server mit unzähligen ICMP-Echo-Requests bombardiert wird. Durch die hohe Pingzahl sinkt das Antwortverhalten des Servers und die Netzverbindung wird stark belastet. Besonders erfolgreich sind Ping-Attacken wenn dem Angreifer eine hohe oder höhere Bandbreite zur Verfügung steht als dem Attackierten. Bei ICMP-Datenpaketen belasten die Datenpakete mit den ICMP Echo-Antworten die Bandbreite, wodurch das System abstürzen kann. Eine Variante des Ping-Flooding ist die Smurf-Attacke, die sich auf die Broadcast-Adresse eines Netzwerks zielt. Polymorpher Virus polymorphic virus Viren arbeiten nach bestimmten Code-Sequenzen und sind an wiederkehrenden Bytefolgen zu erkennen. Es gibt aber auch Viren, die ihren eigenen Programmcode ständig verändern, indem sie Kopien von sich selbst erstellen, die durch Permutation verändert wurden. Solche Viren nennt man polymorphe Viren. Sie können mit sich verändernden Signaturen arbeiten, die allerdings bestimmten Algorithmen unterliegen. Die Hersteller von Virenscannern und Anti-Virensoftware analysieren dieses Regelwerk und können dadurch entsprechende Anti- Virensoftware entwickeln. Die ersten polymorphen Viren sind aus den 80er Jahren bekannt. 17

18 robot, bot Robot Robots oder Bots sind Programme, die als Agenten für einen Benutzer oder Server operieren. Im Internet werden die Bots, die auch als Spider oder Crawler bezeichnet werden, als Suchmodule eingesetzt, die das Internet automatisch nach neuen und aktualisierten Webseiten durchsuchen, indem sie selbstständig den Links folgen. Sie werden von den Suchmaschinen zur Recherche ausgesendet und durchforsten die Webserver. Diese Suchmaschinen-Bots erfassen und charakterisieren die Dokumente anhand von Keywords und führen die Daten der Websites den Suchmaschinen zu. Je nach Arbeitsweise können die Robots oder Crawler nur neue oder aktualisierte Webseiten erfassen - man nennt Beispiele für unterschiedliche Robots 18

19 sie dann Freshbots oder Fresh Crawl - oder eine Tiefen-Indexierung ausführen und alle Unterseiten einer Website übertragen. Diese Bots nennt man Deepbots oder Deep Crawls. Robots können akzeptiert, auf spezielle Seiten eingeschränkt oder mit dem Robot Exclusion Standard (RES) verhindert werden. Ihr Verhalten kann durch Kopfeinträge und die ASCII-Datei robots.txt im Root Directory beeinflusst werden. Durch einfache Befehle können Robots selektiert und die Informationsübernahme kann eingeschränkt werden, indem bestimmte Dateien nicht gecrawlt werden dürfen. Sie werden durch Disallow: /Images/ von der Erfassung ausgeschlossen. Robots sind modifizierte, inoffizielle IRC-Clientprogramme, die Kontrollaufgaben ausführen und Chatter auf bestimmte Neuheiten hinweisen. Es gibt Versionen, mit denen es möglich ist, in den Rechner eines gewöhnlichen IRC-Clients einzudringen. Andere Bots können automatisch Spiele ausführen, wie Pokerbots, unerwünschte und nicht angeforderte s versenden, wie Spambots, Newsgroups durchforsten, wie Adbots, oder eigene Entscheidungen treffen, wie die Wizards. Cyberkriminelle infizieren mit Bots viele Computer von Unbekannten und bilden daraus ein Botnetz, über das sie Attacken auf Computer und Netzwerke ausführen können. Dabei kann es sich um DoS- oder DDoS-Attacken handeln oder um das Verbreiten von Spams, Viren und Trojanern. Smurf-Attacke smurf attack Smurf gehört zu den DoS-Attacken auf ein Netzwerk, die mit Pings arbeiten. Bei der Smurf- Attacke sendet der Angreifer ein oder mehrere ICMP-Datenpakete, Internet Control Message Protocol (ICMP), an die Broadcast-Adresse des Netzwerks. In den IP-Header wird mittels IP-Spoofing als Source Address (SA) die des Angegriffenen 19

20 eingetragen, anders als beim Ping-Flooding, bei dem eine nicht-existente Adresse eingetragen wird. Alle Clients eines Netzwerks, die den ICMP-Broadcast oder einzelne ICMP-Datenpakete empfangen, richten ihre Antwort an die Adresse des Angegriffenen, der daraufhin, je nach Anzahl an Netzwerk-Clients tausend oder mehr Antworten erhalten kann. Der Datenstrom multipliziert sich um die Anzahl an Clients, was zum Überlauf des Pufferspeichers oder zum Systemabsturz führen kann. Snooping Unter Snooping versteht man das Abhören einer Verbindung auf einem Broadcast-Medium, einem Chat oder der Internettelefonie. Der Mithörende, beispielsweise ein Hacker, kann dadurch in den Besitz von vertraulichen Daten wie Passwörter kommen. Neben dem genannten Snooping gibt es noch das Bus-Snooping bei dem jeder Teilnehmer auf dem Hostbus Adressen anderer Teilnehmer mitlesen kann. Spam spam mail Spams, Spam-Mails oder auch Junk-Mails, sind unverlangt zugesendete s und Kurznachrichtendienste (SMS). Das können auch Newsartikel sein, die an viele Newsgroups verteilt werden. Im normalen Sprachgebrauch sind damit unerwünschte Nachrichten gemeint, an denen man kein Interesse hat und die dem Benutzer unverlangt zugesandt werden. Eine Spam-Mail ist vergleichbar einer nicht angeforderten postalischen Wurfsendung. Die unerwünschten elektronischen Massenaussendungen werden auch als Unsolicited Bulk (UBE) bezeichnet, die kommerziellen s als Unsolicited Commercial (UCE). Für die Aussendung von Spams gibt es spezielle Programme für das Internet. So können Spam-Mails über Chats ebenso verbreitet werden wie über ICQ. Die Kreativität der Spam-Autoren kennt kaum Grenzen. So sind Spam-Mails zu komplexen und 20

21 Spam-Mail spezialisierten Anwendungen mutiert. Sie sind mit Flash-Animationen, versteckten Inhalten oder Spyware bestückt. Zur Verhinderung von Spams gibt es Spam-Filter gegen unerwünschte Massen- s, Mailfilter zur inhaltlichen Filterung von s nach Text- und Anhängen sowie Web-Filter zur Blockierung von unerwünschten -Adressen. Die Organisationen Mail Abuse Prevention System (MAPS) und Coalition Against Unsolicited 21

22 Commercial (CAUCE) haben sich speziell mit der Verhinderung von Spam-Mails auseinander gesetzt und bieten verschiedene Listen mit den Server-Adressen, von denen regelmäßig Spams versandt werden. Spyware Der Begriff Spyware ist eine Wortschöpfung aus Spy (Spionieren) und Ware. Es handelt sich dabei um eine Software, die das Online-Verhalten von Webnutzern, das sich im Surfen ausdrückt, ausspioniert und dieses Wissen an andere weitergibt. Aus den Ergebnissen, die in der Regel in Tabellen gespeichert und über s an den Urheber gesendet werden, können Rückschlüsse auf das Werbeverhalten gezogen und die Werbewirksamkeit durch gezielten Einsatz von abgestimmten Methoden gesteigert werden. Spyware wird als unerwünschte Software auf Workstations installiert, sie verhält sich penetrant und ist potenziell gefährlich. Der Zweck ist die Bereicherung des Urhebers. Sie wird durch Trojaner und mit s auf den Anwender-PC heruntergeladen. Spyware kann dann zu einer ernsthaften Gefahr werden, wenn vertrauliche Informationen des angemeldeten Nutzers weitergegeben werden. Dazu gehören u.a. die Abfolge der Tastatureingaben, der Benutzername, der Hashwert des Administrator-Passwortes, - Adressen, Kontaktdaten sowie Anmelde- und Nutzungsinformationen zu Instant-Messaging. Stealth-Virus Die Bezeichnung Stealth steht für Tarnkappe und ist bekannt von den Stealth-Bombern des US-Militärs, die nicht von Radars erfasst werden können. Daher leitet sich auch die Bezeichnung für Stealth-Viren ab. Es sind Viren, die sich tarnen indem sie Systemprogramme verändern. Greift der Benutzer auf eine infizierte Datei zu, kann er das Stealth-Virus nicht erkennen, da es sich aus der Datei entfernt hat. Gleiches gilt für Antivirenprogramme. Nach 22

23 dem Abschluss des Antivirenprogramms wird die Datei wieder von dem Stealth-Virus befallen. SYN-Flooding SYN-Flooding ist eine DoS-Attacke. Es ist ein gezielter Angriff auf einen Server, um diesen zu überlasten und zum Absturz zu bringen. Beim SYN-Flooding wird der Verbindungsmechanismus vom TCP-Protokoll geflutet, um den Server mit falsch beschrifteten TCP-Datenpaketen zu überlasten. Generell sendet beim Aufbau einer TCP-Verbindung ein Rechner ein Synchronisations-Flag an den Zielrechner. Der Zielrechner sendet daraufhin eine Empfangsbestätigung an den initiierenden Rechner, woraufhin dieser mit einem Bestätigungs- Flag (ACK) antwortet. Beim SYN- Flooding wird das Internet von einem Host mit TCP-Paketen mit Synchronisations- Flags geflutet, und zwar unter Benutzung einer nicht-existenten Quelladresse. Jedes einzelne DoS-Attacken Datenpaket wird 23

24 von dem anwählten Server wie eine Verbindungsanfrage, ein Connection Request, behandelt. Der entsprechende Server bestätigt die Anfrage mit einer Empfangsbestätigung mit gesetzten Bestätigungsflag und wartet anschließend auf die Antwort der sendenden Datenstation. Da die Quelladresse aber falsch ist, wird den Server keine Antwort erreichen. Da der Zielrechner keine Antwort erhält, sendet er nach einiger Zeit erneut eine Empfangsbestätigung und später wieder eine usw. Die Verbindung bleibt daher für einige Zeit halb geöffnet und begrenzt dadurch die Anzahl an Verbindungen, die der Server handeln kann. Der Server wird überlastet und kann dadurch auch korrekte Anfragen nicht weiter bearbeiten, und zwar solange, bis die Attacke mit dem SYN-Flooding beendet ist. Trojaner trojan Unter einem Trojaner, auch als trojanisches Pferd bezeichnet, versteht man ein Programm, das neben seiner eigentlichen Funktion noch weitere, unbekannte Funktionen aufweist. Bei seiner Ausführung richtet ein trojanisches Pferd Schaden»von innen«an. Dabei werden Datenbestände und Passwörter ausspioniert und über das Internet versendet, ebenso aber auch Systemkonfigurationen verändert oder gelöscht. Trojaner missbrauchen Computer und rüsten in diesen zusätzliche Funktionen nach, mit denen sie Zugangsdaten, Passwörter und Seriennummern erfassen oder die Remote-Eigenschaften und die Systemadministration beeinträchtigen, so beispielsweise als Spyware, zur Aussendung von Spams oder für Angriffe auf Server. Trojaner verbreiten sich über Anhänge von s, aber auch über Tauschbörsen. Trojaner kann man dadurch verhindern, indem man keine Mailanhänge von unbekannten E- Mail-Adressen herunterlädt und öffnet, ebenso keine Software aus unbekannten Quellen auf seinen Computer lädt oder diese zumindest vorher durch einen Virenscanner checkt. 24