Gefährliche Hacker Attacken
Im Jahr 2001 wurden 215 Mal unklassifizierte, sprich nicht der strengen
Geheimhaltung unterliegende Systeme im US-Verteidigungsministerium von Hackern
angezapft. Seit dem steigt die Zahl der Hackerangriffe exponential an.
Die Identität der Hacker bleibt dabei meist im Dunkeln, in einigen Fällen ist zumindest
die Herkunft klar, wie bei den kontinuierlichen Angriffen von Moonlight Maze,
die offensichtlich aus Russland operierten.
Die Täter
verwenden meistens die überall im Internet verfügbaren Hacker-Tools und
letztlich könnte jeder, vom Kind bis zu Terroristen oder feindlichen
Regierungen, beteiligt sein. Während Viren in der Regel
sofort einen Schaden anrichten und aus diesem Grund sehr schnell bemerkt werden,
bleiben Hacker-Angriffe unter Umständen lange verborgen. Selbst eine Firewall
ist nicht immer im Stande, alle Attacken erfolgreich abzuwehren.
Wir zeigen hier, wie sich die Angriffe auch mit
Bordmitteln und kostenlosen Tools erkennen und verhindern lassen. Wer sich
aber ausreichend im Internet schützen will, kommt am Einsatz
einer professionellen Firewall und externer Unterstützung nicht vorbei.
Abwehr von Hacker Attacken
Was passiert aber bei einem Hackerangriff und wie kann ein solcher Angriff bemerkt
werden. Diese und ähnliche Fragen werden oft an uns gestellt. Wir haben Ihnen
hier einige Tipps zusammengestellt, in denen Sie erfahren, wie ein Angriff
ausgeführt wird, wie Sie ihn bemerken können, wie Sie sich schützen können und
vor allem, wie Sie sich dagegen wehren können.
Angriffe von Hackern oder genauer gesagt, von Script-Kiddies zu bemerken, ist eigentlich
gar nicht so schwer. Mit ein paar Kenntnissen über das System und den richtigen
Adressen im Netz lässt sich ein Angriff sogar zurückverfolgen.
Der Weg um Zugang und Kontrolle über Ihren infizierten PC zu
erlangen, ist die bestehende Online-Verbindung. Hierzu benötigt der Hacker
zunächst die IP-Adresse des Zugangs-Rechners. Die IP Adresse kann bei einer
Standleitung oder ADSL Verbindung statisch sein, verändert sich aber jedes Mal
bei einer ISDN- oder tDSL-Einwahl im Netz.
Bei der Einwahl ins Netz über einen Internet-Provider oder
Call by call Anbieter, wird eine temporäre IP-Adresse vergeben, die zufällig aus
einem Pool an freien IP-Adressen ausgewählt und einmalig für die Zeit der
Online-Verbindung Ihrem Verbindungs-Rechner zugeordnet wird.
Um den riesigen Pool an IP-Adressen eines Providers zu
durchsuchen, gibt es komfortable Hacker-Tools, mit denen man in vertretbarer
Zeit ganze Adressräume der Provider durchforsten kann. Somit ist es kein großes
Problem, Ihre IP-Adresse zu ermitteln und dann Kontakt zu Ihrem Netzwerk
aufzunehmen.
Warum der ganze Aufwand?
Trojaner kennen keine offensichtliche Schadensfunktion, um sich
möglichst lange im System verstecken zu können. Beliebte Tarnungen sind nach wie
vor Screensaver und kleine Spielereien. Während diese vom Benutzer erstmals
ausgeführt werden, schreibt sich der Trojaner heimlich ins System. Die
Vorgehensweise bei einem Trojaner-Angriff ist fast immer die gleiche. Ähnlich
wie bei Viren werden diese meist wahllos gestreut, etwa über Mail-Attachments
oder Downloads. Lädt der ahnungslose Anwender das Programm, schlummert dieses im
System, bis die Malware aktiviert wird. Dann erst nimmt der Hacker Kontakt auf.
Der Hacker weiß zuvor nicht unbedingt, welche PCs einen offenen Port
haben oder mit einem Trojaner infiziert sind. Er durchsucht systematisch in den Adressen,
bis er eine IP-Adresse erreicht, über die er einen Port
oder einen Trojaner ansprechen kann.
Falls Ihnen per Mail bereits ein Trojaner zugestellt wurde und
Sie arglos den Dateianhang der Mail geöffnet und ausgeführt haben, wurde der
Trojaner installiert. Nun versucht der Hacker mit seinem Client den Server auf
Ihrem Rechner anzusprechen. Zu diesem Zweck benötigt er einen offenen Port.
Ein Port ist eine Art Tunnel, durch den IP-Funktionen
ausführbar sind. Beispielsweise werden die Ports 137-139 standardmäßig vom
Windows-Betriebssystem geöffnet. Über diese Ports kann der Trojaner-Agent
Kontakt zum Trojaner-Server aufnehmen. Falls der Server des Trojaners antwortet, hat der Hacker nun
mehr oder weniger freien Zugriff auf den PC.
Die Portnummer ist von Trojaner zu
Trojaner verschieden. Beispielsweise nutzt der Trojaner SubSeven den Port 1234.
Für die Netbus Pro lautet die Voreinstellung Port 20034. Zahlreiche Internet-Seiten listen bekannte Trojaner
und deren Port-Belegung auf, beispielsweise
www.anti-trojan.net/de/trojportlist.aspx. Angesichts variabler Tarnprogramme
und ständig neuer Exemplare sind diese Listen aber nie vollkommen aktuell.
Netbus: Das Programm installiert den
Client normalerweise über die Datei patch.exe im Windows-Ordner. Der Dateiaufruf
zu patch.exe steht außerdem unter den Prozessen im Taskmanager. Der Trojaner
schreibt einen weiteren Eintrag im Schlüssel Hkey_Local_ Machine/Software/Microsoft/Windows/CurrentVersion/Run
(alternativ in den Subkeys RunOnce und RunServices). Außerdem installiert Netbus
die Datei keyhook.dll (Keylogger).
Back Orifice: Dieser Trojaner schreibt im Schlüssel Hkey_Local_Machine/Software/Microsoft/Windows/Current
Version/Run und legt das File windll.exe ab. Scannen Sie zudem noch .EXE, .COM
und .DLL nach der Zeichenkette bofilemappingcon.
Subseven: Der Trojaner schreibt sich ebenfalls in einen der
Run-Schlüssel. Zudem legt dieser eine Datei subseven.com an. Der Name kann aber
variieren. Nicht selten lädt sich der Trojaner in win.ini und system.ini.
Außerdem manipuliert er die mpr.dll.
Andere Trojaner: Neben den drei genannten Exemplaren, die
zu den häufigsten gehören, existieren zahllose weitere mit geringerer
Verbreitung, die nach dem gleichen Muster agieren. Fast immer setzen diese
Angreifer Marken in der Registry im Schlüssel Hkey_Local_Machine/Software/Microsoft/Windows/CurrentVersion/Run
oder Hkey_Local_Machine/Software/Microsoft/Windows/CurrentVersion/RunServices.
Ein unbekannter Eintrag mit dem Parameter /nomsg (no message) ist grundsätzlich
verdächtig. Hier gilt: Schlüssel exportieren und anschließend den Eintrag
löschen.
Durch den Befehl "NETSTAT -A" können die offenen Ports auf dem jewiwligen
Rechner angezeigt werden, so wie die IP-Adresse, zu welcher eine Verbindung
aufgebaut wurde. Um den Trojaner unschädlich zu machen, reicht es meisten aus,
den Startaufruf zu deaktivieren und den PC zu booten. Entdeckt der User Dateien,
die über das Datum eindeutig der Malware zuzuordnen sind, sollten diese in
Quarantäne gestellt werden. Sinnvoll ist es beispielsweise, die Dateien über
eine veränderte Extension vorübergehend außer Gefecht zu setzen.
DoS- oder DDOS-Attacken
Bei DoS-Attacken wird ein Server gezielt
mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr
bewältigen kann und im schlimmsten Fall zusammenbricht. Auf diese Art wurden
schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo,
eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert
und für eine bestimmte Zeit für normale Anfragen außer Gefecht gesetzt. Es
existieren daher auch verschiedene Formen einer DoS-Attacke:
Syn Flooding: Zu Beginn eines
Verbindungsaufbaus wird in TCP/IP basierten Netzen ein Handshake
durchgeführt. Dabei werden SYN - und ACK -Datenpakete ausgetauscht. Bei
einem SYN-Flooding-Angriff werden an ein Computersystem SYN-Pakete
geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im
Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem
versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Weil die
Absenderadresse des ersten Paketes gefälscht war, kann das System unter
dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm
aufbauen wollte. Erst nach einer gewissen Zeit werden die
Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn
nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der
angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose
Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht
mehr zu erreichen.
Ping Flooding: Ping ist ein Programm, das prüft, ob
andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding
bombardiert der Angreifer den Zielrechner mit einer gewaltigen Menge von
Pings. Der Rechner ist dann damit beschäftigt die Pings zu beantworten.
Das Ping Flooding führt zu einer wesentlichen Beeinträchtigung des
angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser
Rechner befindet. Es entstehen hohe Kosten, wenn die Netzwerkverbindung nach
Datenmenge abgerechnet wird.
Mailbombing: Dabei wird entweder eine enorm große
Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die
Zieladresse wird mit Tausenden von Nachrichten bombardiert. Das führt zum
Verstopfen des Mail-Accounts. Im schlimmsten Fall bricht der Mail-Server
total zusammen. Solche Mail-Bombing-Angriffe können ohne größere Probleme
durch im Internet erhältliche Programme durchgeführt werden.
Verteilte Denial-of-Service-Attacken (DDoS):Seit
einiger Zeit gibt es vermehrt verteilte DoS-Attacken. Dabei kommt anstelle
von einzelnen Systemen eine Vielzahl von unterschiedlichen Systemen in einem
großflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der
gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. Diese
Art Angriff Wird als Distributed Denial of Service (DDoS)-Angriff
bezeichnet. Eine DDoS-Attacke ist daran zu erkennen, dass sie deutlich mehr
Netzressourcen als der normale Verkehr beansprucht. Ein Hacker verteilt dazu
seine Angriffsprogramme auf mehreren tausend ungeschützten Rechnern. Diese
Rechner werden zum Angriffswerkzeug, denn auf Kommando des Hackers
bombardieren sie ein bestimmtes Ziel mit gefälschten Anfragen. Sich vor
solchen Angriffen zu schützen ist deshalb schwer, weil der Zielrechner die
Daten erst erhalten muss, um sie zu analysieren. Doch dann ist es bereits zu
spät. Die Hacker selbst lassen sich nur schwer aufspüren, da sie in den
meisten Fällen mit gefälschten IP-Quelladressen arbeiten. Deshalb muss
verhindert werden, dass DDos-Programme wie "Stacheldraht" oder "TFN 2K"
überhaupt eingeschleust werden.
Buffer Overflow
"Buffer Overflow"-Schwachstellen sind gerade bei Web-Servern und
-Applikation durchaus häufig und gefährlich. Ein Angreifer aus dem Internet kann
beispielsweise einen "Speicherüberlauf" generieren, das System zum Absturz
zwingen oder gar eigenen Code ausführen lassen, indem er lediglich ein paar
Zeilen formatiert und darin seinen Code stückweise verteilt. Um eine
Buffer-Overflow-Schwachstelle auszunutzen, bedarf es keiner Interaktionen des
Nutzers. Auf diese Weise lässt sich der Angriff einfach mit Hilfe wieder
verwendbarer Skripts oder Würmern reproduzieren und ausweiten.
Buffer-Overflow-Attacken können überall dort gestartet werden, wo Input des
Anwenders erwartet wird. Dazu gehören Internetadressen (URLs), HTTP-Kopfzeilen
oder -Text.
Dialer
Zu den gefährlichen Malware-Programmen zählen Dialer. Dahinter
verbergen sich 0190 oder 0900-Nummern zur Einwahl ins Internet. Dialer werden
über vermeintliche Hacker-Seiten, vor allem aber über Sex-Angebote im Internet
verbreitet und treffen Anwender mit Wählleitungen (Modem, ISDN). Während der
Installation des Dialers werden die vorhandenen Einstellungen der DFÜ-Verbindung
überschrieben. Ab dem Zeitpunkt surft der Anwender für bis zu 1,86 Euro pro
Minute. Unentdeckt bleibt der Schwindel dann bis zur nächsten Telefonrechnung.
Einblicke in die DFÜ-Verbindung und die Modemeinstellungen gewährt die
Systemsteuerung. Ob sich ein Dialer eingeschleust hat, entlarvt dort allein die
Vorwahl. Der Name des Providers wird selten geändert. Täuschen lassen sollte
sich der User nicht von einer 010 33-Vorwahl vor dem 01 90-Code. Denn diese hat
auf den tatsächlichen Tarif keine Auswirkungen.
Klicken Sie also gar nicht erst auf Links in Werbe-Mails oder auf
den beworbenen Web-Seiten. Installieren Sie keine Programme, die aus unsicheren
Quellen stammen. Brechen Sie einen automatisch gestarteten Download sofort ab.
Lassen Sie 0190- Nummern sperren. (Telekom: 0800-330-1000). Beantragen Sie einen
Einzelverbindungsnachweis. Richten Sie keinen automatischen Internet-Zugang ein.
Speichern Sie Ihr Zugangspasswort nicht ab. Installieren Sie ein
Dialer-Schutzprogramm (0190-Warner). Meiden Sie unbekannte Software, E-Mails
oder "kostenlose" Dialer. Deaktivieren Sie wenn möglich AktiveX und andere
Aktive Inhalte, über die sich Dialer unbemerkt einnisten können. Schalten Sie
externe Modems ab. Ziehen Sie ungenutzte Kabel aus der Telefondose. Wenn Sie
über DSL verfügen, so stellen Sie sicher, dass Ihr altes Modem bzw. Ihre ISDN
Karte abgeschaltet, ausgebaut oder von der Telefonleitung getrennt sind. Sollte
das nicht der Fall sein, kann ein Dialer Ihre "alte Leitung" missbrauchen.
ARP-Spoofing, Man-in-the-Middle-Attacken und Connection Hijacking
Seit vielen Jahren gehören Man-in-the-Middle-Attacken, die auf
den Missbrauch von ARP zurückzuführen sind, zum festen Repertoire vieler Hacker.
Für die IP-Kommunikation über das Ethernet ist ARP ein unverzichtbarer
Bestandteil, da die eigentliche Adressierung im Ethernet anhand der MAC-Adressen
stattfindet. Eine MAC-Adresse (Medium Access Control) ist eine auf der
Netzwerkkarte festgelegte Kennung, die im Normalfall einzigartig und
unveränderbar ist. ARP stellt das Bindeglied zwischen IP- und MAC-Adresse dar.
Bevor ein IP-Paket verschickt werden kann, ist die MAC-Adresse des Zielrechners
zu ermitteln. Dazu versendet ARP einen Broadcast mit der Frage "who has <IP-Adresse>".
Ist der Ziel-Host online, antwortet dieser mit einem an den Absender gerichteten
ARP-Reply "<IP-Adresse> is at <MAC-Adresse>". Diese Antwort speichert der
Rechner temporär im ARP-Cache, um weitere Anfragen zu vermeiden.
Beim ARP-Spoofing wird dem Absender eine falsche
Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das
Fälschen des DNS. Der Angreifer bekommt dadurch die Möglichkeit zu
kontrollieren, welche Adressen wie aufgelöst werden, da er anstelle des
eigentlichen Name-Servers diese Auflösung übernimmt. Dadurch ist er in der Lage,
Adressen vertrauenswürdiger Seiten auf eigene Server umzuleiten, um
beispielsweise eingegebene Passwörter oder PINs in Erfahrung zu bringen.
Ein anderes Beispiel ist das Spoofen des DHCP-Servers. Da
zusätzlich zur IP-Adresse noch diverse andere Daten wie das Gateway oder die
Adresse des Nameservices übertragen werden, ist der Angreifer dadurch in der
Lage, die Kommunikationswege des Rechners zu manipulieren, um damit eine
Man-in-the-Middle-Attacke einzuleiten.
 Unter
Man in the Middle ist zu verstehen, dass die Kommunikation zwischen zwei
Verbindungspartnern transparent über einen dritten Host läuft. Transparent heißt
in diesem Zusammenhang, dass weder der Absender noch der Empfänger bemerken,
dass sie eigentlich nicht direkt miteinander verbunden sind, sondern über einen
dritten Host, der ähnlich wie ein Gateway die Informationen weiterleitet.
Realisiert wird das auf verschiedene Weisen, abhängig davon, welche Verbindung
betroffen ist. Befinden sich beide Hosts im gleichen Subnetz, versendet der
Angreifer seine eigene MAC-Adresse an beide Hosts mit der IP-Adresse des jeweils
anderen. Sowohl Rechner A als auch Rechner B verbinden sich mit Rechner C in dem
Glauben, miteinander verbunden zu sein.
Connection Hijacking ist vergleichbar mit einem
Man-in-the-Middle-Angriff. Der Unterschied ist, dass bestehende Verbindungen
übernommen werden. Anwendung findet dies in erster Linie bei unverschlüsselten
Protokollen wie Telnet, die eine kontinuierliche Verbindung aufbauen. In die
Kommunikation von verschlüsselten Verbindungen kann der Angreifer auf diese
Weise nicht mehr eingreifen, da er nicht im Besitz der dafür notwendigen
Schlüssel ist.
Weist ein ARP-Cache mehrere Einträge mit identischen
MAC-Adressen auf, ist das ein Indiz, dass diese gespooft wurden. Dies muss
jedoch nicht zwingend der Fall sein, da ein Host über mehrere IP-Adressen auf
dem gleichen Netzwerk-Device verfügen kann; in der Regel findet das jedoch nur
bei Servern Anwendung.
Eine effektive Maßnahme, um den Missbrauch von ARP
vorzubeugen, ist die Verwendung von Layer-3-Switches. Das Konzept dieser
Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu
identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung
werden vom Switch bemerkt und verhindert. Abhilfe schafft auch die richtige
Konfiguration der Hosts im Netz, um zumindest die wichtigsten Angriffsziele wie
den Gateway, DNS oder Mailserver gegen einen Man-in-the-Middle-Angriff zu
sichern. Das Einrichten eines statischen ARP-Caches, der die wichtigsten
Host-Zuordnungen festlegt, reicht jedoch oft schon aus, um zumindest einen
Grundschutz vor ARP-Spoofing zu gewährleisten.
Unter Linux lässt sich ein statischer ARP-Cache einrichten.
Legen Sie dazu die Liste der Hosts, deren Zuordnung statisch in den Cache
geschrieben wird, in einer Datei an und rufen Sie "arp -f <Dateiname>" auf.
Dieses Kommando liest die Datei aus und schreibt deren Inhalt in den ARP-Cache.
Um diesen Vorgang beim Start zu automatisieren, legen sie im Runlevel 4 oder 5 (
/etc/rc4.d oder /etc/rc5.d) ein entsprechendes Startscript an.
Unter Windows erstellen Sie eine Datei "arpstart.bat" und
fügen die Adressen wie folgt ein: arp -s <IP-Adresse> <MAC-Adresse> . Damit bei
jedem Systemstart das Skript geladen und die Einträge fest in den Cache
geschrieben werden, tragen Sie die Datei in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run" ein.
Als Schutzmaßnahme kann man das Tool XArp im Hintergrund
mitlaufen zu lassen. Das Programm protokolliert sämtliche Veränderungen in der
Zuordnung zwischen IP-und MAC-Adresse und stellt diese übersichtlich dar.
http://www.chrismc.de/developing/xarp/
Social Engineering
Die Absicht ist meistens, jemanden anzurufen und
ihn dazu zu bringen, sein Passwort zu verraten oder ein Programm auszuführen. Es
gibt jedoch wesentlich raffiniertere Attacken, bei denen nur kleine
Informationsbröckchen benötigt werden.
Zunächst sollten Mitarbeiter darin geschult werden,
Anfragen genau zu betrachten Social Engineering Betrüger benutzen
Schmeicheleien und Einschüchterung zur Erreichung ihres Zieles. Am wichtigsten
ist es deshalb Mitarbeiter darin zu schulen, legitime und illegitime Anfragen
unterscheiden zu können. Es gibt dabei Regeln und Richtlinien, die helfen
können. Schon durch die einfache Sicherheits-Regel, dass bei einer vertraulichen Anfrage, wenn
man den Anfragenden nicht persönlich kennt, dieser zurückgerufen werden muss,
werden viele Social Engineering-Attacken vereitelt.
Ob es nun darum geht, in einer "Phishing"
Attacke jemanden dazu zu verleiten, seine Passwörter für das Online-Banking
preiszugeben oder den Empfänger einer E-Mail zu überreden, einen Virenanhang
auszuführen: Social Engineering ist inzwischen auch für massenhafte Verbreitung
geeignet, wenn es mit Spamming-Methoden kombiniert wird.
Windows XP mit SP2 Windows Vista und Windows 7 hat eine eigene Firewall, die sich auf den
ersten Blick einfach konfigurieren lässt. Der Anwender aktiviert lediglich ein
Kontrollkästchen im Eigenschaften-Fenster der DFÜ-Verbindung (Registerkarte
Erweitert). Allerdings bringt die Windows-eigene Firewall zwei Schwächen mit
sich, die den Schutz aushebeln. Zum einen werden ausgehende Pakete nicht
gescannt, sondern nur die eintreffenden. Zum anderen unterstützt die Firewall
UPnP (Universal Plug & Play). Dadurch können Anwendungen von Drittanbietern
ebenfalls nach Belieben passieren - unter anderem auch Trojaner.
Security-Tools oder Pprofessionelle Firewalls bemerken die Suche nach IP-Adressen oder den Port-Scan und unterbinden in der Regel
bereits diesen Versuch.
Beispielsweise zeigt LockDown2000 bei einem Versuch folgende Meldung an:
[11.01.02 12:14:35] Incoming hack attempt from IP Address: 109.220.138.123
[11.01.02 12:14:35] Hacker is attempting to gain access using the Netbus trojan.
[11.01.02 12:14:35] Hacker's connection was terminated by Lockdown 2000.
[11.01.02 12:14:35] Log auto-saved to: 01112002.LOG
In der ersten Zeile sehen Sie die IP-Adresse, über die der
Hacker ins Netz gegangen ist. Diese IP Adresse ist wichtig, da anhand der
IP-Adresse der Provider unter Umständen den Rechner identifizieren kann, dem zu
diesem Zeitpunkt diese IP-Adresse zugeordnet wurde.
Über einen traceroute kann man die Route zurückverfolgen, die
der Hacker über das Netz genommen hat. Es sind die Zwischenstationen der
Netzknoten, über die diese Verbindung zustande gekommen ist.
Dabei erhält man einen Domain Namen. Dies ist die Adresse des
Adress-Inhabers - leider noch nicht in einer Form lesbar, um den Provider oder
den Inhaber festzulegen.
Dafür benötigen Sie jetzt eine WHOIS-Abfrage bei der
Koordinationsstelle für Domains:
Zum Beispiel den DENIC für DE-Domains, den INTERNIC für com-
org- oder net Domains. Hierzu geben Sie in das Whois-Textfeld einfach nur den
Domain-Namen ein und erhalten dann folgende Informationen:
 domain:
Name der Domain
descr: Beschreibung der Domain
descr: die Adresse
descr: PLZ und Ort
admin-c: AC1234-RIPE (Der Administrative Ansprechpartner)
tech-c: TC1234-RIPE (Der Technische Ansprechpartner)
zone-c: ZC1234-RIPE(Der Zonenverwalter)
nserver: ns0.ns0.de (Nameserver)
nserver:
ns2.ns2.de (2.Nameserver)
mnt-by: DE-DOM
changed: hostmaster@nic.de
source: RIPE
person:
ADMIN-C
address: Adresse
address: PLZ und Ort
phone: Telefonnummer
nic-hdl: AC1234-RIPE
Wichtig ist hierbei der Eintrag
admin-c, denn dort wird der tatsächliche Besitzer und Administrative Ansprechpartner
dieser Domain beschrieben. Diese Informationen können jedoch teilweise veraltet sein.
Ist kein Domain-Namen verfügbar, kann der Besitzer des IP
Adresskreises beim RIPE, ARIN oder APNIC über die Whois Funktion gesucht werden.
Mit diesen Angaben können Sie versuchen den entsprechenden
Domain-Inhaber über den Vorfall zu informieren, eine Abmahnung des Hackers
verlangen oder eine Strafanzeige erstatten.
Der steinige Rechtsweg
Erstatten Sie jedenfalls eine Strafanzeige bei der Polizei!
http://www.polizei.propk.de/rat_hilfe/beratungsstellen/
Recht haben heißt aber nicht immer sofort Recht zu bekommen,
denn der Weg zur Ermittlung und Anklage des Schädigers ist mitunter kompliziert
und dornenreich. Welche Möglichkeiten aber hat ein Geschädigter, wenn Dokumente
oder Geschäftsunterlagen zerstört und gestohlen werden oder ein System so
zerstört wird, dass keine Möglichkeit mehr zum Zugriff auf Daten besteht? Eine
Rechtsberatung dürfen wir Ihnen hier nicht geben, zumindest aber Tipps und
Hinweise, wie Sie sich im Verdachtsfall verhalten können.
Dass ein potentieller Angreifer seine Identität allzu leicht
offen legt, braucht niemand zu hoffen. Schädlinge werden zu 96% per eMail
verschickt und es gibt viele, oft auch im Ausland gelegene Freemail-Anbieter die
offensichtlich keinen Wert auf die Identität eines Nutzers legen. So können
Angreifer Postfächer eröffnen und von dort aus anonym ihre destruktiven
Aktivitäten ausführen. Zudem ist es jederzeit möglich, mit einem Programm wie
Ghost-Mail anonyme eMails zu versenden und von einem ungeschützten Spam-Server
in Umlauf zu bringen.
Normale Viren sind nicht das Problem, wenn es um
Datendiebstahl geht. Ein Virenscanner ist in der Lage, den schädlichen Code zu
verhindern. Das weitaus größere Problem ergibt sich aus Trojanern oder BackDoors.
Sie sind in der Lage, unbemerkt Verbindungen zum Angreifer aufzunehmen, der dann
in der Lage ist, sämtliche lokalen Funktionen auszuführen und den infizierten
Rechner zu durchsuchen. Auf diese Weise können Nutzerdaten, private Dokumente
oder auch wichtige und geheime Geschäftsunterlagen gesammelt werden.
Liegt ein begründeter Verdacht auf Befall mit einem Trojaner oder Backdoor vor und
wurden persönliche Daten gestohlen oder zerstört, muss der Beweis dafür erbracht
werden. Sehr wirkungsvoll ist hier der Einsatz einer Firewall mit Log-Funktion,
denn auf diese Weise lassen sich sämtliche Verbindungen erfassen und
protokollieren. Beweisführend ist hier die IP-Adresse des Remote-Rechners, von
dem aus der Angreifer auf den Ziel-Rechner zugreift. Kann sie zweifelsfrei
erfasst werden, hat der Geschädigte eine reelle Chance auf Ergreifung des
Schädigers, denn die meisten Internet-Provider erfassen User in einer Logdatei.
Anhand dieser Logdatei kann ermittelt werden, wem zu welchem Datum und zu
welcher Uhrzeit diese IP-Adresse zugeordnet wurde.
Das Telekommunikationsgesetz lässt jedoch nicht zu, dass
Privatpersonen Zugriff auf die Daten der Provider-Logfiles nehmen können. Dies
darf nur der ermittelnde Staatsanwalt, der durch eine Strafanzeige seine Arbeit
aufnimmt. So ist der erste Schritt also die Beautragung eines Rechtsbeistands,
der dann eine entsprechende Strafanzeige stellt. Für eine erfolgreiche
Strafanzeige benötigen die Ermittler sämtliche von Ihnen gesammelte Daten.
Zum Beispiel kann das die Logdatei des eingesetzten
Firewall-Systems sein. Wurden auch Nutzerdaten gestohlen und wurde damit ein
wirtschaftlicher Schaden verursacht, indem der Datendieb die fremden
Account-Daten für eigene Surf-Sessions benutzt hat, so kann auch eine Auflistung
der Telefon- und Internet-Kosten der letzten Monate eine Hilfe sein.
Liegt ein begründeter Verdacht auf Datendiebstahl oder
Zerstörung vor, ist Eile geboten, denn Internet-Provider bewahren Logfiles
maximal 90 Tage auf. In jedem Fall werden Sie oder Ihre Rechtschutzversicherung
aber in Vorleistung gehen müssen, da Rechtsanwälte in der Regel einen Vorschuss
für ihre Arbeit berechnen.
Wurde eine Strafanzeige gestellt und ist es dem beauftragten
Staatsanwalt gelungen, in den Logfiles des Providers den verdächtigen Zugang
zweifelsfrei festzustellen, laufen die Ermittlungen an.
Ein Hinweis zu forensischen Untersuchungen: Wenn Sie wirklich
glauben, dass ein Angriff stattgefunden hat und rechtliche Schritte einleiten
möchten, empfiehlt es sich, die forensischen Untersuchungen nicht selbst
vorzunehmen. Nehmen Sie das System aus dem Netz, um eine weitere Ausbreitung des
Schadens zu verhindern, aber ziehen Sie anschließend einen forensischen Experten
zu Rate. Das Risiko, dass Beweise zerstört und damit vor Gericht nicht mehr
anerkannt werden, ist einfach zu groß. Wenn Sie also die Notwendigkeit zum
Sichern von Beweisen sehen, ziehen Sie unbedingt einen Experten hinzu. Bitte fragen Sie uns bei Angriffen von professionellen Hackern direkt um Hilfe, da hier meistens
ein gezieltes, schnelles Vorgehen notwendig ist. Informationen über das richtige Verhalten im Verdachtsfall
können wir Ihnen in Zusammenarbeit mit einem spezialisierten Anwaltsbüro gerne geben. Wir haben
Ihnen hier die wichtigsten Gesetze aufgelistet:
|
TDG, (Teledienstegesetz) |
TDDSG, (Tddschutzgesetz |
|
Begründung des Regierungsentwurfs zum EGG |
Signaturgesetz |
|
Änderungsstaatsvertrag (Rundfunkstaatsvertrag und MDStV) |
Das IuKDG |
|
Die E-Commerce-Richtlinie |
Medienrecht |
|
Mediendienstestaatsvertrag |
Telekommunikationsgesetz (TKG) |
|
Begleitgesetz zum TKG |
Telekommunikations-Kundenschutzverordnung (TKV) |
|
Bundesdatenschutzgesetz |
EU-Datenschutzrichtlinie |
|
Datenschutzgesetze des Bundes und der Länder |
EU-Telekommunikationsdatenschutzrichtlinie |
GepaNet Security Audit
Auf dieser Internet-Seite können wir nur einen kurzen, ganz allgemeinen
Abriss über die "gewöhnlichen" Angriffsszenarien geben. Diese entwickeln
sich aber ständig weiter, werden vielschichtiger, verteilter und
komplizierter. Das GepaNet Security Audit beruht deshalb auf langjährigen Erfahrungen von
qualifizierten System-, Netzwerk- und Security-Administratoren die stets
an vorderster Front arbeiten, mit dem gemeinsamen Ziel den Stand der Informationssicherheit zu
verbessern.
Das GepaNet Security Audit basiert auf den neuesten bekannten und bestätigten Bedrohungen
und Schwachstellen. Diese Bedrohungen und Schwachstellen werden erläutert und
beruhen auf gesicherten Informationen aus realen Situationen, Diese werden verwendet, um das Bewusstsein des Kunden zu stärken und aufzuzeigen, warum eine
stetige Bedrohungsanalyse wichtig ist. Aus den aufgezeigten Bedrohungen und
Schwachstellen entwickeln wir gemeinsam mit dem Kunden Gegenmaßnahmen und
Verteidigungen einschließlich deren Instrumentierung, den Metriken und der
ständigen Revision. Der Workshop beginnt mit einer tiefgreifenden Einführung in
die einschlägigen Methoden und Prüfprogramme. Anschließend führt er durch alle Einzelheiten, wie
man Audit-Geräte für die Überprüfung von IT-Systemen, Firewalls und
Routern bis hinunter zu den Betriebssystemen einsetzt.
Die praktischen Übungen laden Sie zum Experimentieren mit den Audit-Tools ein.
Dabei hat der Kunde Gelegenheit zur Durchführen von Auditfunktionen gegen Test-Server,
welche zur Verfügung gestellt werden können. Das GepaNet Security Audit ist mehr als
das Abhaken einer Bedrohungs-Checkliste, es ist das Verständnis der Best Practices,
System-Analyse und Forensik. Registrieren Sie sich für das Security Audit und
erleben Sie die einzigartige Mischung aus Theorie, Praxis- und Praxiswissen zur
Stärkung Ihrer Informationssicherheit.
|
