Hacker Hackerprofile in amerikanischer Terminologie

Transkript

1 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Georges Awad 1

2 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Kilroy (was here) ist der Hackertyp, der es vorzieht, ein klares Zeichen zu hinterlassen. Georges Awad 2

3 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Kilroy (was here) ist der Hackertyp, der es vorzieht, ein klares Zeichen zu hinterlassen. Userhacker Gebrauchsdiebstahl ist das Ziel des Eindringens. Georges Awad 3

4 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Kilroy (was here) ist der Hackertyp, der es vorzieht, ein klares Zeichen zu hinterlassen. Userhacker Gebrauchsdiebstahl ist das Ziel des Eindringens. Spy (Spion) ist ein Hacker, der auf der Jagd nach geheimer Information ist. Georges Awad 4

5 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Kilroy (was here) ist der Hackertyp, der es vorzieht, ein klares Zeichen zu hinterlassen. Userhacker Gebrauchsdiebstahl ist das Ziel des Eindringens. Spy (Spion) ist ein Hacker, der auf der Jagd nach geheimer Information ist. Fixer hat das Ziel, Daten zu modifizieren, z. B. Telefonrechnungen, Personalinformationen, etc. Georges Awad 5

6 Hacker Hackerprofile in amerikanischer Terminologie Trainspotter ist ein Hacker, der besessen ist, zu so vielen Systeme wie möglich Zugang zu erlangen. Kehrt selten nach einem geglückten hack zurück. Kilroy (was here) ist der Hackertyp, der es vorzieht, ein klares Zeichen zu hinterlassen. Userhacker Gebrauchsdiebstahl ist das Ziel des Eindringens. Spy (Spion) ist ein Hacker, der auf der Jagd nach geheimer Information ist. Fixer hat das Ziel, Daten zu modifizieren, z. B. Telefonrechnungen, Personalinformationen, etc. Vandal (Vandale) hat, wie die Bezeichnung andeutet, das Ziel, im System so viel Schaden wie möglich anzurichten. Georges Awad 6

7 Gefährliche Hacks sind durch folgende Schritte gekennzeichnet: Erlangung des Zugangs zum System Georges Awad 7

8 Gefährliche Hacks sind durch folgende Schritte gekennzeichnet: Erlangung des Zugangs zum System Etablieren eines Supervisor- oder Superuser-Status Georges Awad 8

9 Gefährliche Hacks sind durch folgende Schritte gekennzeichnet: Erlangung des Zugangs zum System Etablieren eines Supervisor- oder Superuser-Status Einrichtung einer Hintertür zum System (trapdoor) Georges Awad 9

10 Gefährliche Hacks sind durch folgende Schritte gekennzeichnet: Erlangung des Zugangs zum System Etablieren eines Supervisor- oder Superuser-Status Einrichtung einer Hintertür zum System (trapdoor) Löschen aller Spuren Georges Awad 10

11 Gefahren Trojanische Pferde: Programme, die neben ihrer 'offiziellen' Funktion auch die vom Einschleuser beabsichtigte Nebenwirkung ausführen. Georges Awad 11

12 Gefahren Trojanische Pferde: Programme, die neben ihrer 'offiziellen' Funktion auch die vom Einschleuser beabsichtigte Nebenwirkung ausführen. Würmer sind Programme, die sich selbständig über ein Netz verbreiten und auf anderen Rechnern vervielfältigen können. Viren sind Programme, die sich in andere Programme hineinkopieren (reproduzieren) und zeit- oder ereignisgesteuert Schäden hervorrufen. Georges Awad 12

13 Gefahren Trojanische Pferde: Programme, die neben ihrer 'offiziellen' Funktion auch die vom Einschleuser beabsichtigte Nebenwirkung ausführen. Würmer sind Programme, die sich selbständig über ein Netz verbreiten und auf anderen Rechnern vervielfältigen können. Viren sind Programme, die sich in andere Programme hineinkopieren (reproduzieren) und zeit- oder ereignisgesteuert Schäden hervorrufen. Logische Bomben sind zusätzliche Programmfunktionen, die vom Programmierer eingebaut werden. Sie treten erst zu einem bestimmten Ereignis zu Tage, z. B. werden alle Daten zwei Jahre nach Entlassung des Programmierers gelöscht. Georges Awad 13

14 Gefahren Trojanische Pferde: Programme, die neben ihrer 'offiziellen' Funktion auch die vom Einschleuser beabsichtigte Nebenwirkung ausführen. Würmer sind Programme, die sich selbständig über ein Netz verbreiten und auf anderen Rechnern vervielfältigen können. Viren sind Programme, die sich in andere Programme hineinkopieren (reproduzieren) und zeit- oder ereignisgesteuert Schäden hervorrufen. Logische Bomben sind zusätzliche Programmfunktionen, die vom Programmierer eingebaut werden. Sie treten erst zu einem bestimmten Ereignis zu Tage, z. B. werden alle Daten zwei Jahre nach Entlassung des Programmierers gelöscht. Trap doors sind Programmfunktionen, die einen nicht autorisierten Zugang zum System ermöglichen. (Programmteile, die zur Fehlersuche dienten und dann in der Verkaufsversion nicht entfernt wurden, oder Wartungsaccounts können zu trap doors werden). Georges Awad 14

15 Angriffe über das Netz Sniffing ICMP-Tunneling IP-Spoofing Route-Spoofing RIP-Route-Spoofing ICMP-Route-Spoofing DNS Spoofing ARP-Spoofing Hijacking (Kombination von Sniffing- und Spoofing-Angriffe) Denial-of-Service Attacks (lahmlegen von ) Message Flooding Service-Overloading Network-Flooding SYN Attacks etc. etc. etc. Georges Awad 15

16 Security im Data Link und Network Layer Sniffing! Im lokalen Netz gelangen die Datenpakete an alle Rechner. Georges Awad 16

17 Security im Data Link und Network Layer Sniffing! Im lokalen Netz gelangen die Datenpakete an alle Rechner.! Normalerweise werden Daten, die nicht an einen bestimmmten Rechner adressiert sind, von diesem verworfen. Genau an dieser Stelle setzen die Sniffing-Attacken an. Statt die fremden Daten zu verwerfen, kann man diese Daten speichern und eventuell weiter verwenden. Georges Awad 17

18 Security im Data Link und Network Layer Sniffing! Im lokalen Netz gelangen die Datenpakete an alle Rechner.! Normalerweise werden Daten, die nicht an einen bestimmmten Rechner adressiert sind, von diesem verworfen. Genau an dieser Stelle setzen die Sniffing-Attacken an. Statt die fremden Daten zu verwerfen, kann man diese Daten speichern und eventuell weiter verwenden.! So ist es z.b. möglich durch einen entsprechenden Filter eine komplette Verbindung zu protokollieren. (Paßworte beim Telnetoder ftp-login werden im Klartext weitergegeben). Georges Awad 18

19 ! Zum "erschnuppern" der Daten dienen Programme, die man "Sniffer" nennt. Eigenschaften: " Abhören des Netzwerkverkehrs. " Einsatz des "Promiscous-Mode" der Netzwerkkarten um alle Pakete zu empfangen. " Meist Filterung bestimmter Adressen und Ports möglich. " Speicherung der abgehörten Daten auf Platte oder Weiterverarbeitung mit externen Filtern und Programmen möglich. Georges Awad 19

20 ! Zum "erschnuppern" der Daten dienen Programme, die man "Sniffer" nennt. Eigenschaften: " Abhören des Netzwerkverkehrs. " Einsatz des "Promiscous-Mode" der Netzwerkkarten um alle Pakete zu empfangen. " Meist Filterung bestimmter Adressen und Ports möglich. " Speicherung der abgehörten Daten auf Platte oder Weiterverarbeitung mit externen Filtern und Programmen möglich. Den "bad guys" stehen u.a. folgende Programme zur Verfügung: "SniffIt", "Etherload", "Netman", "LinkView" oder "LANWatch". Georges Awad 20

21 Security im Internet Layer ICMP-Tunneling! Alle ICMP-Messages besitzen ein Datenfeld, dessen Bedeutung nicht festgelegt ist und das im Normalfall nicht benutzt wird. Georges Awad 21

22 Security im Internet Layer ICMP-Tunneling! Alle ICMP-Messages besitzen ein Datenfeld, dessen Bedeutung nicht festgelegt ist und das im Normalfall nicht benutzt wird.! Damit bietet sich die Möglichkeit Informationen über ICMP- Messages zu verschicken. Es ist damit also möglich, Nachrichten aus einem Netzwerk, das z.b. hinter einem Firewall steht, "herauszuschmuggeln". Georges Awad 22

23 Security im Internet Layer ICMP-Tunneling! Alle ICMP-Messages besitzen ein Datenfeld, dessen Bedeutung nicht festgelegt ist und das im Normalfall nicht benutzt wird.! Damit bietet sich die Möglichkeit Informationen über ICMP- Messages zu verschicken. Es ist damit also möglich, Nachrichten aus einem Netzwerk, das z.b. hinter einem Firewall steht, "herauszuschmuggeln".! Eine besondere Gefahr stellt das ICMP-Tunneling dar, weil ICMP oft als harmlos eingestuft wird und Firewalls i.d.r. Nutzfelder nicht überprüfen. Georges Awad 23

24 Georges Awad 24

25 IP-Spoofing (Fälschen von IP-Adressen) Versenden gefälschter Datagramme unter der Absenderadresse eines zugriffsberechtigten Systems. Georges Awad 25

26 IP-Spoofing (Fälschen von IP-Adressen) Versenden gefälschter Datagramme unter der Absenderadresse eines zugriffsberechtigten Systems. " Einige Attacken mit IP Spoofing: Route-Spoofing Dabei werden falsche Routing-Informationen an Router weitergegeben, um eine Umleitung von Verbindungen auf den Agriffsrechner zu erreichen. Es existieren mehrere Ansatzmöglichkeiten, um eine solche Attacke durchzuführen: Georges Awad 26

27 ! RIP-Route-Spoofing Das Routing Information Protocol (RIP) wird verwendet, um (dynamische) Routing-Informationen in lokalen Netzwerken zu verbreiten. Es bietet damit aber einem Angreifer die Möglichkeit falsche Routing-Information an einen Rechner (und alle Gateways auf der Route dorthin) zu versenden. Diese Informationen werden in der Regel ungeprüft übernommen. Georges Awad 27

28 ! RIP-Route-Spoofing Das Routing Information Protocol (RIP) wird verwendet, um (dynamische) Routing-Informationen in lokalen Netzwerken zu verbreiten. Es bietet damit aber einem Angreifer die Möglichkeit falsche Routing-Information an einen Rechner (und alle Gateways auf der Route dorthin) zu versenden. Diese Informationen werden in der Regel ungeprüft übernommen.! ICMP-Route-Spoofing Bei dieser Art des Angriffs wird ausgenutzt, über die Meldung ICMP redirect Routing-Informationen an den Absender eines IP- Pakets zu übermitteln. Ein Angreifer kann dies nutzen, das Routing auf seinem eigenen Rechner umzuleiten. Verwendet ein Rechner eine solche Nachricht als neue Routing-Information, so führt dies dazu, daß seine Informationen über den Rechner des Angreifers geroutet werden. Georges Awad 28

29 ! DNS Spoofing Folgende Attacke ist möglich: Georges Awad 29

30 Die falsche Nachricht, daß die Adresse hat, wird vom Opfer-DNS ohne jegliche Prüfung übernommen. Diese Art des Angriffs wird zum Beispiel verwendet, um Hompages zu "entführen". Dabei wird meist nur ein Eintrag im DNS "gefälscht", wodurch alle Benutzer, die den Hostnamen statt dessen IP-Adresse verwenden, auf einen falschen Server geführt werden. Eine weitere Möglichkeit ist die Komplette Übernahme eines DNS-Servers Durch "Denial Of Service"-Angriffe wird der Nameserver lahmgelegt. Georges Awad 30

31 ARP-Spoofing! Dynamische ARP Einträge werden regelmäßig (nach einem bestimmten Zeitintervall) verworfen und der Rechner fordert von seinem Kommunikationspartner eine Bestätigung seiner IP- und Hardwareadresse an. Georges Awad 31

32 ARP-Spoofing! Dynamische ARP Einträge werden regelmäßig (nach einem bestimmten Zeitintervall) verworfen und der Rechner fordert von seinem Kommunikationspartner eine Bestätigung seiner IP- und Hardwareadresse an.! An genau dieser Stelle setzt nun ein Angreifer an.! In der Regel wird nun der Rechner, dessen Platz der Angreifer einnehmen will ausgeschaltet (dies kann z. B. durch einen der später beschriebenen "Denial-of-Service" Angriff geschehen), so daß er keine Anfragen nicht mehr beantworten kann. Georges Awad 32

33 ARP-Spoofing! Dynamische ARP Einträge werden regelmäßig (nach einem bestimmten Zeitintervall) verworfen und der Rechner fordert von seinem Kommunikationspartner eine Bestätigung seiner IP- und Hardwareadresse an.! An genau dieser Stelle setzt nun ein Angreifer an.! In der Regel wird nun der Rechner, dessen Platz der Angreifer einnehmen will ausgeschaltet (dies kann z. B. durch einen der später beschriebenen "Denial-of-Service" Angriff geschehen), so daß er keine Anfragen nicht mehr beantworten kann.! Anschließend wird auf einen ARP request des "Opfers" gewartet. Da der eigentlich angesprochene Rechner keine Antwort senden kann, ist es dem Angreifer nun möglich einen gefälschten ARP reply an das "Opfer" zu schicken. Georges Awad 33

34 ARP-Spoofing! Dynamische ARP Einträge werden regelmäßig (nach einem bestimmten Zeitintervall) verworfen und der Rechner fordert von seinem Kommunikationspartner eine Bestätigung seiner IP- und Hardwareadresse an.! An genau dieser Stelle setzt nun ein Angreifer an.! In der Regel wird nun der Rechner, dessen Platz der Angreifer einnehmen will ausgeschaltet (dies kann z. B. durch einen der später beschriebenen "Denial-of-Service" Angriff geschehen), so daß er keine Anfragen nicht mehr beantworten kann.! Anschließend wird auf einen ARP request des "Opfers" gewartet. Da der eigentlich angesprochene Rechner keine Antwort senden kann, ist es dem Angreifer nun möglich einen gefälschten ARP reply an das "Opfer" zu schicken.! Dieser trägt die falsche Adresse in seine ARP-Queue ein und verschickt nun alle folgenden Nachrichten statt an den eigentlichen Zielrechner an den Rechner des Angreifers. Georges Awad 34

35 ! Kontaktiert das Opfer anschließend einen Kommunikationsdienst auf dem» gespooften«server (2) mit der IP-Adresse b.b.b.b, wird eine Verbindung zum System des Angreifers aufgebaut, der anschließend alle Benutzereingaben abfangen kann. Georges Awad 35

36 Hijacking Stellt eine Kombination der Sniffing- und Spoofing-Angriffe dar. Dabei werden bestehende Verbindungen zwischen zwei Rechner "entführt", d. h. der Angreifer übernimmt die Stelle eines Kommunikationspartners innerhalb einer Verbindung. Umgehen der Authentifizierung - Angreifer kann großen Schaden anrichten. Georges Awad 36

37 Denial-of-Service Attacks Diese Gruppe von Angriffsstrategien dient dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Georges Awad 37

38 Denial-of-Service Attacks Diese Gruppe von Angriffsstrategien dient dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Dabei wird in der Regel ausgenutzt, daß die Resourcen (Speicher, Rechenzeit, interne Tabellen, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Georges Awad 38

39 Denial-of-Service Attacks Diese Gruppe von Angriffsstrategien dient dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Dabei wird in der Regel ausgenutzt, daß die Resourcen (Speicher, Rechenzeit, interne Tabellen, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Ein Denial-of-Service-Angriff versucht, auf dem angegriffenen Rechner eine der Resourcen zu überlasten, so daß dieser seinen regulären Aufgaben nicht mehr nachkommen kann und seine Clients nicht mehr bedienen kann. Georges Awad 39

40 Denial-of-Service Attacks Diese Gruppe von Angriffsstrategien dient dem Lahmlegen eines Rechners oder einzelner Funktionen dieses Rechners. Dabei wird in der Regel ausgenutzt, daß die Resourcen (Speicher, Rechenzeit, interne Tabellen, etc.) auf einem Rechner nur in begrenztem Maße vorhanden sind. Ein Denial-of-Service-Angriff versucht, auf dem angegriffenen Rechner eine der Resourcen zu überlasten, so daß dieser seinen regulären Aufgaben nicht mehr nachkommen kann und seine Clients nicht mehr bedienen kann. Denial-of-Service Attacks stellen eine wichtige Gruppe von Angriffen dar, da sie oft als Vorstufe zu einem wesentlich weiterreichenden Angriff dienen. Georges Awad 40

41 Message Flooding Dies ist die primitivste Art des Angriffs auf einen Rechner. Dabei wird nur ein Brute-Force Angriff durchgeführt, bei dem (sinnlose) Nachrichten in einer so großen Zahl an einen Rechner gesendet werden, so daß er durch die Flut dieser Nachrichten nicht mehr dazu kommt die Nachrichten seiner Clients zu behandeln. Ein gutes Beispiel für solche Nachrichten sind ping-anfragen (echorequest). Wird ein Rechner durch eine große Zahl an solchen Nachrichten bombadiert, so kann dies dazu führen, daß er einen Großteil seiner Rechenzeit damit verbringt die entsprechenden Antworten (echo-replies) zu verschicken. Georges Awad 41

42 Service-Overloading Einen ähnlichen Weg wie beim Message-Flooding, gehen die Service- Overloading-Attacks. Allerdings werden hier gezielt Services angesprochen, die einen Großteil der Rechnerresourcen aufzehren können. Dabei ist hier nicht die Menge der Nachrichten ausschlaggebend, sondern es kann hier unter Umständen sogar eine einzige Nachricht genügen. Für einen solchen Angriff anfällig sind z. B. Datenbankserver, die nicht genügend gesichert sind. Bei einem Datenbanksystem kann eine entsprechend formulierte Abfrage (etwa ein Join über mehrere Tabellen) die Systemresourcen bis an die Grenzen belasten. Georges Awad 42

43 Network-flooding Dieser Angriff nutzt die Directed-Broadcast-Funktionalität und setzt mindestens drei Mitspieler voraus: den Angreifer, das verstärkende Netzwerk und das Opfer. Georges Awad 43

44 Network-flooding Dieser Angriff nutzt die Directed-Broadcast-Funktionalität und setzt mindestens drei Mitspieler voraus: den Angreifer, das verstärkende Netzwerk und das Opfer. Der Angreifer sendet gefälschte (gespoofte) ICMP ECHO-Pakete an die Broadcast-Adresse des verstärkenden Netzwerks. Georges Awad 44

45 Network-flooding Dieser Angriff nutzt die Directed-Broadcast-Funktionalität und setzt mindestens drei Mitspieler voraus: den Angreifer, das verstärkende Netzwerk und das Opfer. Der Angreifer sendet gefälschte (gespoofte) ICMP ECHO-Pakete an die Broadcast-Adresse des verstärkenden Netzwerks. Die Quelladresse der Pakete wird gefälscht, um den Eindruck zu erwecken, daß das System des Opfers die Anforderung initiiert hat. Georges Awad 45

46 Network-flooding Dieser Angriff nutzt die Directed-Broadcast-Funktionalität und setzt mindestens drei Mitspieler voraus: den Angreifer, das verstärkende Netzwerk und das Opfer. Der Angreifer sendet gefälschte (gespoofte) ICMP ECHO-Pakete an die Broadcast-Adresse des verstärkenden Netzwerks. Die Quelladresse der Pakete wird gefälscht, um den Eindruck zu erwecken, daß das System des Opfers die Anforderung initiiert hat. Dann bricht das Chaos aus. Da das ECHO-Paket an die Broadcast-Adresse gesendet wurde, schicken alle Systeme im verstärkenden Netzwerk eine Antwort an das Opfer. Wenn der Angreifer ein einzelnes ICMP-Paket an ein verstärkendes Netzwerk mit 100 Systemen, die auf ein Ping-Broadcast antworten, überträgt, hat der Angreifer die Größenordnung des Angriffs um den Faktor 100 verstärkt. Georges Awad 46

47 Security im Transport Layer SYN Attacks (TCP SYN Flooding) Hier wird das Drei-Wege-Handshaking von TCP benutzt, um "halboffene Verbindungen" herzustellen. # Der Client sendet eine Synchronisations-nachricht (SYN) an den Server # Der Server antwortet mit einem entsprechenden Acknoledgment (ACK/SYN) # Darauf sendet der Client sein Acknoledgement (ACK) an den Server Georges Awad 47

48 Mit SYN, ACK/SYN und ACK ist das Handshaking abgeschlossen. Nach Schritt 2 befindet sich auf dem Server ein Eintrag für die Verbindung, der bestehen bleiben muß, bis der Client seine Antwort gesendet hat. Der Server bleibt für eine gewisse Zeitspanne (bei vielen Rechnern sind dies 75 Sekunden) in diesem Zustand und wartet auf die Antwort des Clients. Eine Verbindung in diesem Stadium nennt man halboffen. Erzeugt ein Angreifer eine größere Menge dieser halboffenen Verbindungen, so ist abzusehen, daß der Speicher des Servers irgendwann zu Ende ist. An dieser Stelle ist es dem Server nun nicht mehr möglich eine weitere TCP-Verbindung aufzubauen. Georges Awad 48