1001 Gefahr
"Hack"-senbräu
Diese heile Welt könnte von einer neuen Generation von Hackertools endgültig zerstört werden. Anfang August entstieg ein Programm namens "Back Orifice" (BO) den Tiefen dunkler Entwicklerhöhlen, um von nun an Könnern und Laien als Einbruchswerkzeug zu dienen. Das Win95/98-Tool hat mit "Netbus" einen älteren Cousin, der auch das Öffnen von Windows-NT-Systemen zum Kinderspiel macht. Und mit "Master`s Paradise" steht inzwischen sogar eine deutsche Alternative zur Verfügung.
Die neuen Hacker-Tools teilen sich ihre Arbeit auf:
Ein Serverpart stellt die Ressourcen des Angriffs über das Netzwerk, typischerweise eine IP-Verbindung, zur Verfügung, und ein Clientpart auf dem "Opfer-PC" zapft sie von einer beliebigen Maschine aus an.
Weil die Attacke wie der Angriff der Athener auf Troja verläuft, heißen solche Hacker-Tools auch "trojanische Pferde" oder schlicht "Trojaner"; ihre Aktivitäten sind derart unauffällig, daß der Bluff nicht so ohne weiteres auffliegt.
Im Gegensatz zu dem sagenhaften Vorbild bleiben die Trojaner jedoch nicht allein. Die inzwischen verfügbaren Zusatztools erlauben es, Codes wie BO ohne weiteres an beliebige Programme anzuhängen. So verbreiten sie sich in der Folge bereits beim Austausch von Software nichtsahnender Anwender.
BO, mit 124 KByte ein äußerst effizientes Stück Programmierkunst, arbeitet als Miniserver auf dem infizierten System. Der gewählte Name (zu deutsch Hintereingang) könnte seine Funktion nicht treffender beschreiben: Über einen wählbaren TCP/IP-Port und eine aktive IP-Anbindung kann der Angreifer unbemerkt ins System eindringen und die Kontrolle darüber erlangen.
Die Kommunikation zwischen den beiden BO-Komponenten erfolgt über das UDP-Protokoll, das definierte IP-Adressen der beteiligten PCs zwingend voraussetzt. Statische IP-Adressen sind problemlos zu ermitteln, aber auch dynamische sind keine unüberwindlichen Hürden, insbesondere dann, wenn "Dynamic Host Configuration Protocol" (DHCP) im Unternehmen verwendet wird, oder die Adreßvergabe aus einem Provider-Pool erfolgt. Ist der Code erstmal auf Server und Client installiert und aktiv, so bringt eine E-Mail- oder IRC-Nachricht Licht ins Dunkel der aktuellen IP-Adresse. Alle bereits mittels "Ping-Sweeping" entdeckten BO-Server verwaltet der BO-Client in einer sogenannten "Sweeplist", so daß der Angreifer Nachfolgeattacken in der Regel wesentlich schneller vorbereiten kann als beim ersten Kontakt.
Der eigentliche Austausch zwischen den beiden BO-Komponenten läuft erst nach der Eingabe eines vorher definierten Benutzernamens mit Paßwort an. Danach sind alle Tore offen, der Angriff kann beginnen. Die Liste der Zugriffsmöglichkeiten ist dabei theoretisch durch nichts beschränkt und übersteigt sogar diejenigen, die man als normaler Anwender ohne Zusatzprogramme besitzt. Der BO-Client ist als grafisches Frontend oder Kommandozeilenversion für Windows und als Open-Source-Variante mit Quelltext für Unix verfügbar.