Netzwerk-Attacken Glossar Netzwerk-Attacken 1
Index Netzwerk-Attacken Angreifer Angriff Backdoor Bedrohung Bootvirus Broadcaststurm Brute-Force-Angriff Crack Cracker Crasher CSRF, cross site request forgery DDoS, distributed denial of service DoS, denial of service Flaming Fluten Hacker Hijacking Hoax Honeypot IP-Spoofing ITW, in the wild Mailbombing Makrovirus Malware Man-in-the-Middle-Angriff Nuke-Attacke Pharming Phishing Ping-Flooding Polymorpher Virus Scareware Scraping Skimming Skriptkiddie Smurf-Attacke Sniffer Snooping Spam Spear-Phishing Spim, spam through instant messaging SPIT, spam over Internet telephony Spoofing Spyware SYN-Flooding TMTO, time memory trade-off Trap Door Trojaner Verkehrsflussanalyse Virus Wurm XSS, cross site scripting Impressum 2
Angreifer attacker Als Angreifer werden in der Kommunikationstechnik Personen bezeichnet, die versuchen eine verschlüsselte Nachricht auf dem Übertragungsweg abzufangen und diese zu entschlüsseln. Nicht zu verwechseln mit den Hackern, die sich unberechtigten Zugang zu Systemen verschaffen. Angriff attack Angriffe sind unerlaubte und nichtautorisierte Aktivitäten zum Schaden von Ressourcen, Dateien und Programmen. Man unterscheidet zwischen passiven und aktiven Angriffen. Passive Angriffe bedrohen die Vertraulichkeit der Kommunikation, beeinflussen aber nicht die Kommunikation oder den Nachrichteninhalt. Sie zielen ausschließlich auf die unerlaubte Informationsbeschaffung. Die Abhörsicherheit kann durch diverse Verfahren unterlaufen werden. Eines der bekanntesten ist Tempest, bei dem die elektromagnetische Strahlung von Bildschirmen, Computerboards und Datenkabel empfangen und ausgewertet wird. Ein großes Angriffspotential bieten alle Datenkabel, Telefonleitungen, Lichtwellenleiter und vor allem die Funktechnik, die besonders gefährdet ist. Ist es bei Datenkabeln die elektromagnetische Strahlung, die abgehört werden kann, so besteht bei Lichtwellenleitern die Möglichkeit diese stark zu krümmen, bis die Moden das Kernglas verlassen und die optischen Signale austreten. Bei den aktiven Angriffen werden die Nachrichten, die Komponenten des Kommunikationssystems oder die Kommunikation verfälscht. Es kann sich dabei um Angriffe kann auf Netze, um diese funktional zu stören, wie beispielsweise eine DoS-Attacke, um Angriffe auf den Zugang zu Systemen oder um die Entschlüsselung verschlüsselter Daten und Nachrichten. Ein aktiver Angreifer kann durch Einfügen, Löschen oder Modifizieren von Inhalten bestimmte Reaktionen des Empfängers auslösen und dessen Verhaltensweisen steuern. Zu diesen aktiven Angriffen gehören das Übermitteln von Viren, Würmern und Trojanern. 3
Backdoor Backdoors sind unberechtigte Zugriffe auf Rechner und deren Datenbestände. Wie der Name sagt, erfolgt der unberechtigte Zugriff durch die Hintertür. Der Angreifer erlangt über ein verstecktes, ständig laufendes Programm häufig uneingeschränkte Zugriffsrechte. Im Gegensatz zu Trojanern ermöglichen Backdoors einen direkten Zugriff auf den betroffenen Rechner, spionieren interessante und persönliche Daten aus und ermöglichen die Manipulation von Hard- und Software. Backdoor werden häufig dazu benutzt um Viren, Würmer oder Trojaner auf dem angegriffenen Rechner zu installieren oder diesen für unbefugte Operationen wie DDoS-Attacken zu benutzen. Bedrohung threat Ganz allgemein versteht man unter Bedrohung eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. Es kann sich dabei um ein Ereignis handeln, das Schaden verursacht, um einen Angriff auf ein System, eine Übertragungstrecke oder auf den Informationsinhalt einer Nachricht, um Spionage oder Sabotage oder auch um Gefahren, die unbeabsichtigt oder durch natürliche Ereignisse wie Stromausfall, absichtlich oder vorsätzlich von Mitarbeitern ausgehen. Bedrohung kann von der Technik selbst ausgehen, durch Fehlbedienungen oder Gewaltanwendung. In der Informations- und Kommunikationstechnik kann sich die Bedrohung auf die Verfügbarkeit von Systemen und Ressourcen beziehen oder ebenso auf die Integrität und Vertraulichkeit von Nachrichten. Das Potential von Bedrohungen ist unermesslich, da es sich gleichermaßen auf Systeme und Übertragungstechniken, auf Programme und Anwendungen beziehen kann. Es gibt die aktive Bedrohung bei der Informationen oder der Systemstatus verändert werden, oder die passive Bedrohung, deren Fokus sich auf das Ausspähen von Informationen bezieht. 4
Mit der Bedrohungsanalyse werden alle möglichen Bedrohungsszenarien eines Kommunikations- oder Informationssystems erkannt, analysiert und dokumentiert. Sie bewertet die Wahrscheinlichkeit eines Angriffs und den möglichen, durch Angreifer entstehenden Schaden. Die Bedrohungsanalyse ist Teil der Risikoanalyse und dem Risikomanagement. Bootvirus boot virus Wie aus der Bezeichnung Bootvirus hervorgeht, handelt es sich Viren, die den Bootsektor von Disketten oder den Master Boot Record (MBR) von Festplatten infizieren. Sie überschreiben wichtige Informationen für das Booten, so dass das Betriebssystem nicht mehr gestartet werden kann. Bootviren übernehmen die Startfunktion und die Rolle der Bootroutine und ersetzen den Start im Master Boot Record und früher im Bootsektor auf Disketten. Bootviren waren in den 90er Jahren die am häufigsten vorkommenden Viren, sie waren insofern besonders hartnäckig, weil sie auch auf Disketten, die keinen Bootsektor hatten, übertragen werden und auf jede Diskette unbemerkt kopiert werden konnten. Broadcaststurm broadcast storm Broadcaststürme können zu den DoS-Attacken gezählt werden. Sie entstehen dann, wenn in einer Netzkonfiguration viele Stationen gleichzeitig eine Antwort übertragen. Jede Antwort erzeugt wiederum mehr Antworten was sich wie ein Schneeballeffekt auswirkt. In der Regel hat die sendende Station einen Broadcast gesendet, der gleichzeitig von vielen Stationen beantwortet wird, was mit Re-Broadcasten bezeichnet werden kann. Da das Re-Broadcasten einer gewissen Wahrscheinlichkeit unterliegt, hängt die Anzahl der beantworteten Broadcasts von dieser ab. Ist die Wahrscheinlichkeit gering, bekommen einige Knoten im Netzwerk keine Nachricht, ist sie dagegen hoch, verhält sich das Antwortverhalten wie beim Flooding. 5
DoS-Attacken In der Regel handelt es sich bei Broadcaststürmen um Probleme in der Redundanz der Konstellation, der Konkurrenzsituation und/oder von Kollisionen. So können beispielsweise topologische Schleifen im Netzwerk Verursacher von Broadcaststürmen sein. Beim Redundanzproblem können Knoten, die die Nachricht schon haben, diese ein weiteres Mal empfangen, was zusätzlichen und überflüssigen Traffic verursacht und die Wahrscheinlichkeit der Kollisionen erhöht. Die Kollisionsproblematik stellt sich bei Mobilfunknetzen, da diese nicht mit Kollisionserkennung arbeiten. Broadcaststürme können vorsätzlich ausgelöst werden, indem eine Flut an Broadcast-Paketen in ein Netzwerk gesendet wird. Der Netzwerktraffic kann dadurch blockiert werden und das 6
Netzwerk zusammenbrechen. Broadcaststürme können einen erheblichen Schaden anrichten, da sie hinlänglich Netzwerkressourcen binden und dadurch den eigentlichen Datenverkehr beeinträchtigen. Brute-Force-Angriff brute force attack Ein Brute-Force-Angriff stellt einen gewaltsamen Angriff auf einen kryptografischen Algorithmus dar. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken. Brute-Force-Angriffe können ebenso auf verschlüsselte Dateien, Nachrichten und Informationen oder auch auf Passwörter angesetzt werden. Damit Brute-Force-Angriffe möglichst zeitintensiv sind, setzen die meisten Verschlüsselungssysteme sehr lange Schlüssel ein. Bei einem 32-Bit-Schlüssel wären es vier Milliarden Möglichkeiten, die die heutigen Personal Computer in Minuten durchprobiert hätten. Entsprechend länger dauert die Ermittlung eines 48-Bit-Schlüssels oder gar eines 64-Bit- Schlüssels, der nur in mehreren tausend Jahren zu knacken wäre. Crack Cracks sind illegale Programme, die den Kopierschutz bzw. die Seriennummernverwaltung von Software knacken und entfernen. Über das Crack-Programm kann dann kostenlos eine ansonsten kostenpflichtige Software benutzt werden. Das Crack-Programm trennt die für den Kopierschutz relevanten Programmteile und inaktiviert den Kopierschutz. Die Crack-Programme setzen bei der Testsoftware an und laden später die fehlenden Dateien aus dem Internet nach. Sie können auch die Software manipulieren und damit eine ständige Programmarchivierung verhindern. Cracks werden vorwiegend bei Spielfilmen und Videospielen eingesetzt, die auf optischen Speichermedienstehen gespeichert werden, und werden auch im Internet angeboten. Das Cracken wird als Urheberechtsverletzung geahndet; in vielen Fällen wurde bereits gegen das Downloaden der Cracks vorgegangen. 7
Cracker Ein Cracker ist eine Person, die unberechtigt in ein Computersystem eindringt. Ziel der Cracker ist es, die Sicherheitssysteme zu knacken, ein Chaos zu schaffen und die gewonnenen vertraulichen Daten für eigene kommerzielle Interessen zu nutzen. Dabei kann es sich um Rechenleistung handeln die kostenlos zweckentfremdet wird, oder um die Nutzung der Ressourcen. Durch Angriffe auf Webserver, die Veränderung von Daten oder DoS-Attacken richten Cracker Schaden in den Systemen an. Im Gegensatz dazu überwinden Hacker lediglich die Sicherheitssysteme, zeigen deren Schwachstellen auf und hinterlassen ihre spezifische Visitenkarte. Im deutschen Sprachgebrauch versteht man unter einem Cracker auch eine Person die den Kopierschutz von Systemen knackt. Crasher Die Begriffe Hacker, Cracker und Crasher haben unterschiedliche Bedeutung. Bei einem Crasher handelt es sich um jemanden, der Vandalismus in Computersystemen ausübt, diese zum Absturz bringt und vorsätzlich Schaden anrichtet. CSRF, cross site request forgery Cross Site Request Forgery (CSRF) ist eine Angriffsart, bei der der Hacker die Kontrolle über den Browser seines Opfers übernimmt. Sobald sich dieser bei einer Website eingeloggt hat, agiert er in dessen Namen indem er beispielsweise bösartige Anfragen an die Web-Applikation stellt. Die CSRF-Attacken werden auch als Session Riding oder One Click Attacks bezeichnet. Durch diese Angriffe sind Web-Seiten relativ stark angreifbar. Verhindern lassen sich CSRF- Attacken dadurch, dass die Web-Browser nicht die automatisch übermittelten Daten benutzen, sondern nutzerspezifischen Token verwenden. 8
DDoS, distributed denial of service DDoS-Attacke Ein Distributed Denial of Service (DDoS) ist eine DoS-Attacke, die im Verbund von vielen Computern aus erfolgt. Die DDoS-Attacke wird zum gleichen Zeitpunkt von verschiedenen Computern ausgelöst und ist dadurch nur schwer zu orten und noch schwieriger zu unterbinden. Wie bei der DoS-Attacke wird der attackierte Computer bei der DDoS-Attacke mit fehlerhaften und vorsätzlich falsch adressierten IP-Paketen bombardiert, und zwar so intensiv, bis der angegriffene Server seinen Dienst einstellen muss oder abstürzt. Die Koordination der DDoS-Attacken erfolgt vom Angreifer, der in vielen Fällen als Client bezeichnet wird, zentral über so genannte Handler, die gleichzeitig auf anderen Servern oder Agents vorher abgelegte DoS-Attacken 9
Hilfsprogramme oder Dämonprozesse aktivieren. Da die eigentlichen Attacken über die Hilfsprogramme ablaufen, ist der Verursacher schwer zu ermitteln. Vor der DDoS-Attacke platziert der Angreifer auf verschiedenen Rechnern im Internet Hilfsprogramme oder Dämonprozesse als Trojaner. Wenn die Attacke gestartet wird, werden die Hilfsprogramme gleichzeitig auf allen Agents aktiviert und starten eine DoS-Attacke auf den Ziel-Server. Eine DDoS-Attacke kann ein SYN-Flooding oder eine andere DoS-Attacke sein. DoS, denial of service DoS-Attacke Denial of Service (DoS) sind Dienstverweigerungen, die im Internet zur Beeinträchtigung von Webservices führen, und die, als DoS-Attacke ausgeführt, einen angegriffenen Server oder eine Website außer Betrieb setzen können. DoS-Angriffe werden durch Überlastung von Servern ausgelöst, so beispielsweise durch die Bombardierung eines Mail-Servers mit einer Flut an Mails, durch millionenfache Anfragen an einen Server oder durch Überflutung eines Netzwerks mit Datenpaketen. In allen Fällen können die Funktionen wegen Überlastung der Server oder Netze nicht mehr hinreichend ausgeführt werden. Die Server sind nicht mehr erreichbar, die Netze können zusammenbrechen. DoS-Attacken zielen in der Regel nicht auf den Zugang zum Netzwerk, System oder zu den Datenbeständen, sondern haben das Ziel einen Dienst einzuschränken, zu blockieren oder unbenutzbar zu machen. Dazu werden die zur Verfügung stehenden Programme oder Netzwerk-Ressourcen außerordentlich überbelastet, manchmal auch kollektiv von tausenden Nutzern. Ein DoS-Angriff kann durch IP-Spoofing vorbereitet werden. Der Angreifer nutzt dazu eine autorisierte IP-Adresse und gelangt so in das System oder das Netzwerk, um dann seine DoS-Attacke auszuführen. Neben dem Mailbombing und dem Broadcaststurm, gibt es als weitere DoS-Attacken das SYN-Flooding, Ping-Flooding, die Smurf-Attacke, Nuke-Attacke und die DDoS-Attacken. 10
Flaming Flaming ist ein Internet-Jargon für eine bösartige, oft persönliche oder gar beleidigende Angriffe auf den Verfasser eines Artikels in einer Newsgroup, in Diskussionsforen oder auch beim Schreiben von E-Mails. Flaming sind verbale Auswüchse, die gegen die Netiquette verstoßen und unterbleiben sollten. Fluten flooding Bei DoS-Attacken und DDoS-Attacken werden für die Angriffe auf die Netzdienste verschiedene Flooding-Techniken benutzt. Alle Flooding-Techniken überlasten die zur Verfügung stehende Übertragungskapazität des Angegriffenen, damit der angegriffene Server die Anfragen nicht mehr bearbeiten kann. Man unterscheidet dabei zwischen dem PING- Flooding und dem SYN-Flooding. Beim Ping-Flooding oder beim Ping of Death (PoD) werden lange Requests oder überlange Fragmente an eine IP-Adresse generiert, die die gesamte Systemperformance benötigen. Beim SYN-Flooding werden fortlaufend Requests für die Synchronisation an einen TCP-Port gesendet. Auch hierbei wird das System überlastet und kann abstürzen. Hacker Unter Hacker versteht man Personen, die sich über öffentliche Netze oder IP-Netze unberechtigten Zugang zu anderen Systemen verschaffen. Der unberechtigte Zugang erfolgt in der Regel unter Umgehung der Sicherheitssysteme. Hacker haben sicherheitsrelevante Kenntnisse, ihr Ziel ist die Überwindung der Sicherheitsmechanismen um Schwachstellen aufzudecken. Nach Überwindung der Sicherheitseinrichtungen haben sie Zugriff auf Netzwerke, virtuelle Maschinen und Datenbestände, die sie aber nicht aufrufen oder verändern. Ihr Ziel bleibt einzig die Aufdeckung von Schwachstellen in der Sicherheitsinfrastruktur. Als Gegenmaßnahmen gegen Hacker empfehlen sich u.a. das regelmäßige Auswechseln von Passwörtern, die Beseitigung von Schwachstellen im System, das Abschalten von nicht 11
genutzten Systemdiensten, das Callback als Kommunikationsroutine, die Überwachung von Service-Eingängen und der Einsatz von IDS-Systemen. Hijacking Das englische Wort Hijacking steht für Entführung. Es wird in IP-Netzen für Angreifer benutzt, in denen der Angreifer eine Domain oder eine aktive IP-Sitzung übernimmt. Der Angreifer schlüpft dabei nach der Autorisierung des Nutzers in dessen Rolle und übernimmt die IP- Verbindung. Beim UDP-Prokoll ist das Vorgehen besonders einfach, da es nicht verbindungsorientiert arbeitet. Anders ist es beim TCP-Protokoll, bei dem der Angreifer die Sequenznummer erraten muss. Ziel des Hijacking ist es, sich fremde Informationen und Datenbestände anzueignen. Daher kann das Hijacking auf den Content ausgerichtet sein, dann handelt es sich um Content- Hijacking, aber auch auf Domains, man spricht dann von Domain-Hijacking. Beim Content- Hijacking geht es um fremde Inhalte, an denen der Angreifer interessiert ist und die er sich aneignen möchte. Ein solcher Content-Angriff auf eine Domain kann beispielsweise dazu dienen den PageRank von der Website, von der der Content entnommen wurde, zu verschlechtern und gleichzeitig den eigenen zu erhöhen. Beim Domain-Hijacking geht es um registrierte, aber bereits gelöschte Websites. Diese sind dann von besonderem Interesse, wenn viele Hyperlinks auf die Website hinweisen und sie einen höheren PageRank besitzt. Der Angreifer bestückt die besetzte Domain mit eigenen Inhalten und profitiert von dem vorhandenen PageRank. Hoax Hoaxes sind elektronische Falschmeldungen, die bewusst durch Dritte über E-Mails verbreitet werden. Die Hoaxes enthalten Text, der in die Irre führen soll. Wie eine Zeitungsente oder ein Aprilscherz richten aber keinen direkten Schaden an. Um eine weite Verbreitung zu finden, 12
werden sie als Kettenbrief gehandhabt. Eine Hoax kann alle Themenbereiche tangieren, die Warnung vor einem Virus, Unternehmensund Börsennachrichten, den Umweltschutz, das Wetter bis hin zu weiteren Warnhinweisen. Sie verbreiten sich extrem schnell und werden von Virenscannern nicht erkannt. In Hoaxes finden sich in der Regel Aufrufe, diese auch an Bekannte und Kollegen weiterzuleiten. Honeypot Die exakte Übersetzung des Wortes Honeypot ist Honigtopf. In der IT-Sicherheit handelt es sich um einen im Netzwerk installierten Dienst, der für den Angreifer ein interessantes Ziel darstellen soll und Angriffe auf das Netzwerk protokolliert. Honeypots sind im Netzwerk installiert, werden aber von den berechtigten Netzwerkbenutzern nicht angesprochen, weil sie ihnen unbekannt sind und die darauf installierten Dienste nicht dem eigentlichen Geschäftszweck dienen. Sie stellen lediglich für Angreifer ein vermeintlich interessantes Ziel dar. Wird der Honeypot angesprochen, werden alle Vorgänge von diesem protokolliert und je nach Interessenlage kann ein Alarm ausgelöst werden. Aus dem protokollierten Dokument können Rückschlüsse über die Vorgehensweise der Angreifer und über eventuelle neue Angriffstechniken gezogen werden. Mit diesen Erkenntnissen können dann solche oder ähnliche Angriffen abgewehrt werden. Honeypots sind flexible Security-Einrichtungen mit verschiedenen Sicherheitsanwendungen. Sie sind nicht auf ein spezielles Problem fixiert, sondern können vielfach für die Informationssammlung, das Entdecken von Angriffen und die Prävention eingesetzt werden. Man unterscheidet bei den Honeypots zwischen den Produktions-Honeypots, die einfach zu benutzen sind und einen begrenzten Informationsumfang erfassen können, und den Forschungs-Honeypots, die komplex sind hinreichend Informationen erfassen und analysieren 13
können. Während die erstgenannten in Firmen eingesetzt werden, findet man die anderen in Forschungs-, Verwaltungs- und Militäreinrichtungen. IP-Spoofing Adressen-Spoofing oder IP-Spoofing nennt man im Internet das Vortäuschen einer falschen oder das Fälschen einer IP-Adresse zum Zwecke der Vorteilsnahme. Beim Angriff über das IP- Spoofing verwendet der Angreifende die Netzwerkadresse eines autorisierten Benutzers und erhält, weil er als vertrauenswürdig angesehen wird, den Zugriff auf bestimmte Ressourcen eines Netzwerks oder eines Systems. Ein solches Vorgehen wird durch die Nutzung von bekannten Quelladressen unterstützt oder dadurch, dass der richtige Absender nur schwer ermittelt werden kann. Gelingt es dem Angreifer beim Spoofing die Routingtabellen dahingehend zu manipulieren, dass die gespoofte Adresse bedient wird, wird er wie ein autorisierter Benutzer behandelt. Gegenmaßnahmen gegen das IP-Spoofing zielen primär auf die Konfiguration der Zugriffskontrolle ab. So lässt beispielsweise ein IP-Source-Guard nur die IP-Adressen zu, die mittels DHCP-Snooping an einem bestimmten Port eingehen. Andere Methoden konzentrieren sich auf bessere Authentifizierungen wie beim Einmalpasswort (OTP). ITW, in the wild ITW-Virus Die Bekämpfung von Viren setzt voraus, dass deren Struktur bekannt ist. Aus diesem Grund werden alle bekannten und jemals vorgekommenen Viren, die in freiem Umlauf sind oder waren, als ITW-Viren (In The Wild) bezeichnet. Es gibt eine Auflistung von allen ITW-Viren, die in Datenbanken der WildList Organization International erfasst sind und dem Anwender auf der Wildlist-Website zur Verfügung gestellt werden. Insgesamt gibt es über 80.000 bekannte ITW-Viren, von denen allerdings nur etwa ein Prozent stärker verbreitet war. Die Wildlist-Organisation, die bereits 1996 gegründet wurde, erhält ihre Informationen über 14
Viren von qualifizierten Beobachtern, die weltweit agieren und aktuelle Bedrohungen durch Viren an die WildList melden. Die Wildlist-Liste wird monatlich aktualisiert. http://www.wildlist.org Mailbombing mail bombing Mailbombing gehört zu den DoS-Attacken um Mail-Konten und Mail-Server in ihrer Funktion so zu beeinträchtigen, dass die E-Mail-Adresse nicht mehr erreicht werden kann. Das Mailbombing kann auf verschiedenen Ansätzen zu Blockierung der Mail-Konten basieren. Beim klassischen Mailbombing wird der Mail-Empfänger mit einer Mailbombe regelrecht bombardiert. Dabei kann es sich um tausende oder zehntausende E-Mails handeln, die an die E-Mail-Adresse geschickt werden. Das Herunterladen nimmt so viel Zeit in Anspruch, dass der Mail-Empfänger überlastet ist und korrekte Mails nicht mehr öffnen kann. Ein anderes Mailbombing-Konzept zielt auf den SMTP-Server, der die Mail versendet. Durch Einkopieren von vielen hunderten identischen Mail-Adressen als Carbon Copy (CC) oder Blind Carbon Copy (BCC) wird der Mail-Server durch die Generierung der Mails stark belastet. Diese Art des Mailbombing wird allerdings von den meisten Mail-Servern unterbunden. Die dritte Variante zielt wiederum auf den Mail-Empfänger und arbeitet mit großen Datei- Anhängen, die je nach Anschluss mehr oder weniger Zeit für das Download benötigen. Makrovirus macro virus Makroviren werden im Gegensatz zu normalen Viren in einer Makrosprache erstellt und befallen im Gegensatz zu diesen Dokumente der jeweiligen Host-Anwendung. Da Makros wiederkehrende Tastatureingaben und Programmabläufe automatisieren helfen, können Computerviren über Makroprogramme erstellt und reproduziert werden. Makroviren sind in Dokumenten eingelagert und werden bei Aufruf und Weitergabe der Dateien verteilt. Durch diese einfache Verbreitung können Makroviren enorme Schäden verursachen, 15
beispielsweise durch Veränderung der Zahlen in einer Tabellenkalkulation. Malware Unter den Oberbegriff Malware fallen alle unerwünschten Software-Aktivitäten, die die IT- Sicherheit oder die Funktionsfähigkeit von Computern und Systemen beeinträchtigt. Dazu zählen im Einzelnen Viren, Trojaner und Würmer, Flooding und DoS-Attacken, Spyware, Spams, Hoaxes usw. Bei Malware handelt es sich immer um Aktivitäten, die vom Benutzer nicht erwünscht sind. Die technischen Verfahren mit denen die Malware-Aggressoren ihre Opfer ausspähen sind auf einem hohen technischen Niveau. Gängige Antivirenprogramme, das sind Virenscanner, und Anti-Malware-Programme sind auf nicht in der Lage die Angriffe zu erkennen oder aufzuspüren. Wenn die Malware-Angriffe ihre Aufgaben erfüllt und Konstruktionspläne, Kontennummern oder andere Informationen ausgespäht haben, verwischen die Programme ihre eigenen Spuren. Häufig kann der entstandene Schaden und das Eindringen erst dann rekonstruiert werden, wenn der Privatmann oder das Unternehmen bereits geschädigt wurde. Man-in-the-Middle (MITM) ist ein Angriff auf den Kommunikationskanal zwischen zwei Partnern. Der Angreifer versucht dabei den Kommunikationskanal unter seine Kontrolle zu bringen, und zwar in der Art und Weise, dass die Kommunikationspartner nicht feststellen können ob sie miteinander oder mit dem Angreifer kommunizieren. Man-in-the-Middle-Angriffe können dann erfolgreich sein, wenn für die Verschlüsselung Public- Key-Verfahren ohne signierte Zertifikate benutzt werden, wie beispielsweise bei HTTPS. Abhilfe gegen Man-in-the-Middle-Angriffe schafft nur eine eindeutige Identifikation der Teilnehmer, ohne dem Angreifer die Identifikation preiszugeben. Man-in-the-Middle- Angriff MITM, man-in-the-middle attack 16
Nuke-Attacke Nuke-Attacken zählen zu den DoS-Attacken gegen Computer-Netzwerke. Nuke-Attacken benutzen falsch fragmentierte oder ungültige ICMP-Datenpakete, Internet Control Message Protocol (ICMP), die zu einer Zieladresse gesendet werden. Diese Datenpakete werden zurückgewiesen und gelangen wieder zur Quelladresse, die sie erneut an die Zieladresse sendet. Pharming Das Pharming ist eine Spoofing-Technik, die in Betrugsabsicht eingesetzt wird. Wie beim DNS- oder IP-Spoofing wird der Benutzer durch die vorgetäuschte IP-Adresse auf eine falsche Website geführt und landet auf dem Server eines Angreifers. Pharming setzt bei der Adress-Umsetzung von der Domain-Adresse, beispielsweise www.itwissen.info, auf die Dotted Decimal Notation der IP-Adresse mit gepunkteter Schreibweise 213.133.101.238, an, die im DNS-System verwaltet werden. Dazu werden beim Pharming die Einträge im DNS-Server durch gefälschte Antworten vergiftet. Daher spricht man auch vom DNS-Cache-Poisoning. Bei Anfragen an den DNS-Server liefert dieser dem Anfragenden die gefälschte IP-Adresse. Da der Anfragende den Domainnamen eingibt, wird er über die gefälschte IP-Adresse auf die falsche Webseite des Angreifers geleitet. Das Pharming wird ebenso wie das Phishing im Online-Banking angewendet um vertrauliche Daten für Finanztransaktionen abzufragen. Beim Pharming landen Kunden trotz richtiger Eingabe der Domainnamen auf den gefälschten Webseiten und geben dort vertrauliche Daten wie die Kontonummer, die persönliche Identifikationsnummer (PIN) und die Transaktionsnummer (TAN) preis, die dann missbraucht werden. Der Einsatz von Sicherheitszertifikaten ist eine Möglichkeit diesen Missbrauch zu verhindern. Phishing Mit der Wortschöpfung Phishing, das sich aus Passwort und Fishing zusammensetzt, ist 17
ebenso wie das Pharming eine Technik, bei der der Angreifer versucht, die persönliche Identifikations-Nummer (PIN) und die Transaktionsnummer (TAN) von Bankkunden über das Internet abzufragen und damit Finanztransaktionen durchzuführen. Die Angreifer, die Phisher, fragen über gefälschte Bank-Homepages die vertraulichen Daten ab. Zu diesem Zweck wird eine nachgemachte Homepage eines Geldinstituts ins Internet gestellt. Nach dem Zufallsprinzip werden E-Mails mit einem Link auf die gefälschte Hompage versandt. In diesen E-Mails werden Sicherheitsaspekte oder bankrelevante Themen behandelt mit dem Hinweis auf die angebliche Homepage. Die in die nachgebildeten Hompages eingetragenen persönliche Identifikationsnummern und Transaktionsnummern werden ausgefiltert und stehen den Angreifern unmittelbar für unberechtigte Finanztransaktionen auf der richtigen Homepage zur Verfügung. Da das Phishing wegen dessen Vorgehensweise nicht mehr den erhofften Erfolg zeitigt, wurde es verfeinert zum Spear-Phishing. Bei dieser Methode werden die Opfer ganz gezielt angegangen in dem sich die Phisher als alte Bekannte ausgeben und dazu harmlose Informationen aus Social Networks benutzen. Das darüber aufgebaute Vertrauen nutzen die Phisher um über Formulare einen Link anzuklicken über den eine Ominöse Software geladen wird. Ping-Flooding Ping-Flooding ist eine DoS-Attacke. Es ist ein gezielter Angriff mit dem die Systemperformance von Servern stark beeinträchtigt wird oder der Server abstürzen kann. Das Ping-Flooding arbeitet wie das Ping-Pong-Verfahren. Wobei beim Ping-Flooding der Server mit unzähligen ICMP-Echo-Requests bombardiert wird. Durch die hohe Pingzahl sinkt das Antwortverhalten des Servers und die Netzverbindung wird stark belastet. Besonders erfolgreich sind Ping-Attacken wenn dem Angreifer eine hohe oder höhere 18
Bandbreite zur Verfügung steht als dem Attackierten. Bei ICMP-Datenpaketen belasten die Datenpakete mit den ICMP Echo-Antworten die Bandbreite, wodurch das System abstürzen kann. Eine Variante des Ping-Flooding ist die Smurf-Attacke, die sich auf die Broadcast-Adresse eines Netzwerks zielt. Polymorpher Virus polymorphic virus Viren arbeiten nach bestimmten Code-Sequenzen und sind an wiederkehrenden Bytefolgen zu Die verschiedenen Viren und deren Auswirkungen 19
erkennen. Es gibt aber auch Viren, die ihren eigenen Programmcode ständig verändern, indem sie Kopien von sich selbst erstellen, die durch Permutation verändert wurden. Solche Viren nennt man polymorphe Viren. Sie können mit sich verändernden Signaturen arbeiten, die allerdings bestimmten Algorithmen unterliegen. Die Hersteller von Virenscannern und Anti-Virensoftware analysieren dieses Regelwerk und können dadurch entsprechende Anti- Virensoftware entwickeln. Die ersten polymorphen Viren sind aus den 80er Jahren bekannt. Scareware Scareware ist ein reales Bedrohungspotential im Cyberspace. Beim Einsatz von Scareware wird dem Nutzer vorgegaukelt, dass sein Personal Computer defekt oder anderweitig fehlerbehaftet ist. Dabei wird die Funktionsweise des Computers durch ein Schadprogramm der Cyber-Kriminellen beeinträchtigt. Der Nutzer selbst lädt sich das entsprechende Schadprogramme von der Webseite der Cyber-Kriminellen herunter. Die Vorgehensweise der Online-Kriminellen ist folgende: Sie versenden Spam-Mails mit einem interessanten Hinweis auf eine Webseite, auf der kostenlos etwas betrachtet oder downgeloaded werden kann. Die entsprechende Webseite ist so präpariert, dass der Besucher der Webseite sich das Schadprogramm runterlädt. So gelangt das Schadprogramm auf den Computer des Nutzers wo es Betriebsstörungen verursacht. Dies kann sich in der Performance des Computers oder in merkwürdigen Fehlermeldungen niederschlagen. Dies ist der Ansatz für die Online-Kriminellen, die dem betroffenen Nutzer ein Anti-Viren- Programm verkaufen, das die Performance wieder verbessert und dem Nutzer vortäuschen, dass er mit dem gekauften Programm die richtige Hilfe erhalten hat. Scraping Persönliche Daten und Informationen stellen eine kostbare Ware dar mit der viele Unternehmen Geschäfte machen. So auch im Internet. Das Zusammenkratzen persönlicher 20