Der einzig sichere PC ist bekanntlich ein Rechner ohne Floppy, CD-ROM, Netzwerkkarte oder andere Schnittstellen. Der Umkehrschluss ist deswegen durchaus legitim: Je mehr Kommunikationsmöglichkeiten ein PC hat, desto unsicherer ist er auch. Der Segen globaler Vernetzung ist dementsprechend auch ein Fluch.
Für die Daten auf Ihrem PC existieren mehrere Gefahren. Auf einem Einzelplatz-PC stellt das Internet die größte Bedrohung dar. Mit der Anzahl seiner Benutzer und dem Wachstum des Know-hows steigt die darin vorhandene Menge an krimineller Energie.
Im LAN ist die Bedrohung aus dem Internet geringer, sofern das Netz durch Systeme wie Firewall, Proxy oder wenigstens einen Router mit NAT die angeschlossenen PCs vor dem Internet versteckt. Dafür ist im LAN jeder Kollege im hauseigenen Netz ein potenzieller Eindringling und Neugierde ist bekanntlich ein Urtrieb. Nicht zuletzt ist auch der eigene PC eine Gefahrenquelle, da jede netzwerkfähige Anwendung Daten vom PC versenden kann. Und eine "netzwerkfähige Anwendung" hat man sich schnell geholt.
Netzwerkfähige Parasiten
Weder auf einem Firmen- noch auf einem Privat-PC sollte unbedacht Software installiert werden: Immer häufiger wandern Datenspione und bösartige Programme via Download vom Internet auf den Desktop. Meistens, indem sie sich als legale Version einer Software tarnen, wie etwa der CIH-Virus im Moorhuhn-Spiel. Oder aber sie werden massenweise über E-Mail-Attachments versendet. Dabei hoffen die Programmierer darauf, dass zumindest einige Benutzer das Attachment versehentlich öffnen.
Das Beispiel des netzwerkfähigen Virus Melissa zeigt, wie gefährlich es sein kann, wenn Viren mit LANs und WANs umgehen können: Dieser Computervirus gehört noch immer zu den zehn beliebtesten digitalen Schädlingen und hat eine Erfolgsstory aufzuweisen, wie sie sonst nur erfolgreichen Softwarepaketen vergönnt ist. Melissa und seine Ableger bedienen sich dabei der Makrofunktionen von Microsoft Word, um an Outlook oder Outlook Express heranzukommen. Auch der neue "Shootingstar" LoveLetter konnte sich per E-Mail innerhalb weniger Stunden über den gesamten Erdball verteilen und enorme Schäden anrichten. Details und Informationen zum Schutz vor LoveLetter finden Sie in einem gesonderten tecChannel-Beitrag.
Noch gefährlicher sind Programme, die LAN und WAN nicht nur zur Verbreitung benutzen, sondern anstatt eines zerstörerischen Programms eine so genannte Backdoor installieren. Diese Hintertüren erlauben dem Virus-Programmierer den Zugriff auf Ihren Rechner, sobald Sie ins Internet gehen. Über eine solche Hintertür kann der Hacker dann über Ihren PC Angriffe auf andere Websites durchführen, ohne den Verdacht auf sich zu lenken.
Der Feind auf dem eigenen Rechner
Parasiten wie LoveLetter, W95.Babylonia oder der Explore.zip-Wurm sorgen durch Modifikation der Registry oder der Datei win.ini dafür, dass sie bei jedem Systemstart laufen. Auch der Trojaner des Anhangs picture.exe sorgt dafür, dass nach dem Neustart von Windows die Anwendungen note.exe und/oder manager.exe im Hintergrund laufen und dort allerlei Unsinn anstellen. Ähnliches gilt für den berüchtigten Back Orifice.
Richtig perfide in Sachen Netzwerkeinbindung ist W95.Babylonia, der Ende letzten Jahres sein Unwesen trieb. W95.Babylonia war der erste Virus, der Komponenten aus dem Internet nachladen konnte. Den dreisten Virenautoren gab dies die Möglichkeit, die Funktionsweise des Virus online zu verändern und mögliche Bugs auszumerzen. Die Website ist zwar inzwischen geschlossen, doch die ideenreiche Methode bleibt natürlich bestehen und fand beispielsweise in LoveLetter einen Nachahmer.
Es gibt praktisch nur einen sinnvollen Rat, sich gegen derlei zu schützen: Auf keinen Dateianhang klicken, der unaufgefordert per E-Mail hereinkommt. Das gilt auch, wenn ein (vermeintlicher) Bekannter Ihnen etwas mailt, wie der LoveLetter deutlich gezeigt hat.
Und auch wer meint, alle "gefährlichen" Attachments persönlich mit Namen zu kennen, muss sich vorsehen: Der NewApt-Wurm alias Mike.2000 verschickt sich nicht nur per Attachment, er verpasst dem versandten File auch gleich jeweils eine neue Bezeichnung. Übrigens hilft es auch nichts, nur auf "nicht ausführbare" Dateien zu klicken: Zum Beispiel ist es ohne weiteres möglich, eine .doc-Datei mit Viren-Makrocode zu einem "unschuldigen" RTF umzubenennen - wenn Word nach einem Doppelklick startet, behandelt es das File jedoch wie eine normale Microsoft Word-Datei.
Analyse-Tools schaffen Klarheit
Viren wie der BAT.Chode.Worm versuchen ungeniert, IP-Verbindungen zu anderen Rechnern aufzumachen und Trojaner wie Back Orifice, NetBus und andere bieten sich über Internet gleich als eine Art Remote Control Software an, mit der ihren Opfern mehr als nur ein Schreck eingejagt werden kann.
Der erste Ansatzpunkt für die Suche nach einem Spion ist die Kontrolle, was auf dem Rechner eigentlich so alles läuft. Der Task-Manager von Windows 9x ist dafür nicht sonderlich geeignet, da er nicht alle Programme anzeigt, die aktiv sind.
Empfehlenswert ist deswegen die Shareware EF Process Manager 1.11 (20 US$). Dieses Tool zeigt schnell, was unter der bunten Oberfläche von Windows alles geschieht. Es lohnt sich zunächst mit möglichst wenigen offenen Anwendungen einen Blick hineinzuwerfen, um sich mit den Vorgängen im System vertraut zu machen. Das Task-Werkzeug beleuchtet detailliert, welche Prozesse und Anwendungen auf dem lokalen Computer laufen - auch solche, die Sie mit den zu Windows 9x (und zu Windows NT oder Windows 2000) gehörenden Task-Managern nicht zu Gesicht bekommen. Die Software zeigt zahlreiche Details an, vom Namen des Herstellers bis hin zu Versionsnummern und der Größe des Programms im Speicher. Anwender mit erweiterten Systemkenntnissen können die Ansicht auch auf Module ausweiten, die von bestimmten Prozessen benutzt werden.
Ebenfalls hilfreich ist das Befehlszeilen-Tool Process Information Lister von SysInternals, das zwar nicht für Windows 9x verfügbar ist, unter Windows NT 4.0 und 2000 dafür umso besser arbeitet und obendrein noch Freeware ist. Es zeigt die Informationen dabei nicht nur für den lokalen PC, sondern kann auch die Vorgänge auf einer entfernten Workstation checken.
Tarnen und täuschen
Mit einem Prozessmonitor erhalten Sie schnell einen Überblick, welche ausführbaren Programme und DLLs im Hintergrund herumspuken. Wenn Sie sich auf diese Weise mit dem System vertraut machen, erkennen Sie besser, wenn ein neues Programm auftaucht - auch wenn es zunächst harmlos klingt. So tarnt sich zum Beispiel der Explore.zip-Wurm als explore.exe, und der Trojaner Narnar kommt als tskmngr.exe daher, was beides ja eigentlich ganz plausibel klingt. Wer aber seine Festplatte nach diesen beiden Dateien durchsucht, wird schnell feststellen, dass ein normales Windows diese Dateien gar nicht besitzt (falls Sie diese Files dennoch bei sich finden, sollten Sie schnellstens einen Virenchecker herunterladen).
Um auf dem Laufenden zu bleiben, empfiehlt sich die Lektüre aktueller Virenwarnungen auf informativen Sites, etwa bei Symantec, Network Associates oder Sophos. Immer öfter geben die Viren-Analysten nämlich auch die Namen der Dateien aus, unter deren Deckmantel die Schädlinge aktiv sind. Übrigens: Wer jetzt ganz schnell einen Virenscanner braucht, findet bei der H-BEDV Datentechnik die Personal Edition des Scanners AntiVir, die für den privaten Einsatz kostenfrei einsetzbar ist. Aber auch bei McAfee , Symantec und auf anderen Sites sind Evaluationsversionen von Virenscannern zu finden, mit denen Sie sich schnell Gewissheit verschaffen.
Wie belauscht man Spione?
Eine interessante Methode, internetfähige Schädlinge ausfindig zu machen, läuft über ihre Netzwerkaktivität.
Interessant, weil man dabei auch einen Einblick bekommt, wer sonst noch mit Servern im Internet ein Schwätzchen hält, ohne den Anwender um Erlaubnis zu fragen. Die Kommunikation mit der Umwelt findet dabei im PC entweder über die Netzwerkkarte oder über den DFÜ-Adapter statt. Letzterer benutzt ein externes Gerät am COM-Port oder USB-Anschluss. Bei einer ISDN-Karte läuft die Kommunikation direkt über Treiber, wird aber über eine CAPI abgewickelt.
Nun könnte man ohne weiteres versuchen, die COM-Ports mit entsprechenden Spy-Programmen zu belauschen, also den gesamten Datenverkehr auf der untersten Ebene mitzuschneiden und zu rekonstruieren, wer da was kommuniziert hat. Dies ist ebenso umständlich wie unergiebig. Gleiches gilt für den Mitschnitt der CAPI-Kommunikation bei einer ISDN-Karte: zu viel Arbeit für zu wenig Ergebnis. Auch die Analyse der Winsock-Kommunikation ist eher was für Anwender mit zu viel Zeit, da hierfür spezielle Winsocks zum Einsatz kommen müssen. Wenn Sie es trotzdem versuchen wollen: auf www.sigmasolutions.com und www.sstinc.com gibt es Socket-Analyzer.
Echelon für Jedermann
Die Protokollanalyse in einem LAN ist da schon fruchtbarer. Wer sich genügend mit IP beschäftigt hat, kann mit einer ausgewachsenen Software wie Sniffer Pro von Network Associates, Etherpeek von AG Group, Observer von Network Instruments oder LAN-Decoder von Triticom alle IP-Pakete von und zu bestimmten IP-Adressen mitschneiden.
Stellt man diese Paketfänger zum Beispiel auf die Adresse des Mailservers ein und schneidet alle mit ihm ausgetauschten Pakete mit, so kann man die E-Mails aller anderen Anwender im Netz im Klartext mitlesen - sofern das ganze System auf Internet-Standards wie SMTP und POP3 aufsetzt, bei denen sowohl Passwortübertragung als auch Mailtransfer auf Anwendungsebene im Klartext stattfinden. (Es lohnt sich also, beim LAN-Zugang nicht dasselbe Passwort zu verwenden wie beim Mail-Postfach).
Sniffer Pro und seine Mitbewerber sind sehr mächtige, aber extrem teure Werkzeuge - die Investition von mehreren Tausend Mark lohnt nur für Netzwerk-Administratoren.
Netzüberwachung per Shareware
Es muss nicht immer das Paket zu Tausend Mark sein, um den Traffic auf dem Netz zu überwachen. Auch in diesem Segment gibt es Free- und Shareware-Programme, die ausreichend Analysefunktionen bieten, zum Beispiel Net Analyzer 1.0. Die Paketanalyse-Software läuft allerdings ausschließlich unter Windows NT und analysiert nur Ethernet-Pakete. Sie verwendet einen eigenen, von der Netzwerkkarte unabhängigen Capture-Treiber, der als normaler Systemdienst läuft. Mit Net Analyzer können Sie ICMP-, ARP-, SMTP-, FTP- oder Telnet-Pakete Ihres LANs nach Herzenslust analysieren und dabei mit Schrecken feststellen, wie transparent das ganze System ist.
Was den Umgang im Vergleich zu professionellen LAN-Analysatoren schwierig macht, ist das Fehlen von Triggern (etwa, um den Mitschnitt ab einem definierten Handshake-Beginn zu starten, wie er bei SMTP und POP stattfindet). Dafür können Sie jedoch eigene Paketformate definieren, und mit einem Filter beschränken Sie das Paket-Capture im LAN auf bestimmte Workstations und Protokolle. Auf diese Weise fertigen Sie beispielsweise gezielt Mitschnitte vom SMTP- oder FTP-Traffic einer bestimmten Station.
So ließe sich theoretisch auch herausfinden, ob werbefinanzierte Software wie Cute FTP, GoZilla! oder Eudora Pro im Sponsored Mode auch anderweitig kommunizieren und etwa Informationen über das Userverhalten versenden. Einen Skandal löste beispielsweise Real Networks aus, dessen RealPlayer Benutzerdaten an den Real-Server schickte.
Auf der anderen Seite wären die Anbieter reichlich ungeschickt, würden sie diese Informationen im Klartext versenden: Die Wahrscheinlichkeit, mit einem Protokoll-Analyzer mal eben schnell und einfach einen kodierten Datenstrom zu entziffern, ist also eher gering.
Verbotener Funkverkehr
Oft ist es schon ausreichend zu wissen, dass ein bestimmtes Programm überhaupt eine Verbindung ins Netz öffnet, oder umgekehrt, dass ein Rechner von außerhalb (LAN oder Internet) versucht, auf den lokalen eigenen PC zuzugreifen. Bei der Kommunikation von Programmen mit dem Internet fallen dabei die Protokolle IPX und Netbios flach, da sie im Internet nicht eingesetzt werden. Auch interne LANs laufen heute mehr und mehr unter IP. Es gilt also, sich ganz und gar auf das Internet Protocol zu konzentrieren.
Um die Hintergründe zu möglichen Attacken und Verbindungsaufnahmen zu verstehen, muss man einen intensiven Blick auf IP und andere Protokolle im IP-Umfeld werfen. Ein tiefgehender tecChannel-Beitrag zum Einsatz von Netz-Sniffern ist in Vorbereitung, einige Grundlagen finden Sie auf den nächsten Seiten und in unseren TCP/IP-Grundlagen.
Grundlagen der Netzüberwachung
Grundlage der Datenkommunikation im Internet ist ein IP-Paket, das stets einen Absender und einen Empfänger hat. Erster Angriffspunkt ist also die IP-Adresse des Opfers: Je nach Internetprovider erhalten Sie diese fest (selten) oder dynamisch (häufig). Obwohl eine feste IP-Adresse zuweilen sehr praktisch ist (Chats und IP-Telefonie sind so ohne lästigen Zwischen-Server möglich), hat sie einige Nachteile: Mit ihr wird man leichter das Opfer von Angriffen. Ist Ihre Adresse erst mal bekannt, kann der Angreifer warten, bis Sie online sind, und sich dann nach Herzenslust an Ihrem Rechner austoben. Die IP-Adresse ist zum Beispiel über geschickte Recherche Ihrer E-Mail erhältlich, und auch die angeblich anonymen Web-Mailservices im Internet speichern nicht selten die IP-Adresse des Absenders im Mailheader.
Bei Diensten wie AOL, T-Online, MobilCom, Arcor und vielen anderen erhalten Sie die Adresse dagegen dynamisch: Hier kann man Sie eigentlich nur per Zufall angreifen, indem man einfach blind eine der vielen Adresse angeht, die diese Dienste verwenden. In welchem Adressraum sich typische User-Adressen bewegen, lässt sich schnell herausbekommen, indem man über diese Dienste selbst ins Internet geht und seine Adresse mit Tools wie winipcfg.exe (Win 9x) oder ipconfig.exe (NT-Prompt) prüft. Zudem lässt sich über die RIPE-Datenbank herausfinden, welche Adressbereiche den Providern zugeordnet sind.
In jedem Fall ist Ihr PC mit einer IP-Adresse ausgestattet, sobald sie mit dem Internet verbunden sind. Ergo sind Sie als Individuum vorhanden und für Hacker angreifbar.
Angriffspunkt IP-Ports
IP ist ein verbindungsloses und ungesichertes Netzwerkprotokoll. Auf gut Deutsch: Wenn ein IP-Paket sich auf den Weg von A nach B macht, ist erst einmal gar nicht sichergestellt, dass es wirklich am Punkt B ankommt. Aus diesem Grund gibt es Protokolle wie TCP und UDP, die den IP-Fluss kontrollieren, um sicher zu stellen, dass die Kommunikation von A nach B klappt.
Dabei werden so genannte Port-Nummern eingesetzt, sodass verschiedene Anwendungen (Mail, Telnet, FTP, HTTP) über ein- und dieselbe Verbindung kommunizieren können, ohne sich ins Gehege zu kommen: Anhand der Portnummer weiß TCP, für welche Anwendung ein- und ausgehende IP-Pakete bestimmt sind. Die Kombination aus IP-Adresse und Port ermöglicht also im Prinzip die eindeutige Identifizierung eines Dienstes oder Prozesses auf einem eindeutig festgelegten Rechner.
Die Ports sind von 0 bis 65535 durchnummeriert und stellen den zweiten Angriffspunkt dar. Ein auf dem Rechner geöffneter, lokaler Port hält die Möglichkeit bereit, mit einer Anwendung aus dem Internet zu kommunizieren. Die meisten häufig benutzten Ports verwenden eine Adresse im Bereich von 0 bis 1023. Innerhalb dieser noch immer großen Auswahl gibt es wiederum eine Reihe von Standardports, die per Internet-Dekret bestimmten Anwendungen zugewiesen sind. Die Zuweisung erleichtert die Verbindungsaufnahme, da für Ports und Dienste kein Namensvergabesystem a la DNS existiert. Eine vollständige Liste finden Sie auf www.isi.edu.
Portscanner
Ein Beispiel für die Zuweisung von Standardports ist die Terminalsitzung mit telnet.exe, das standardmäßig den Port 23 verwendet. Das File Transfer Protocol FTP verwendet den Port 21. Ein Mail Transfer Agent für SMTP wartet auf dem TCP-Port 25 auf Verbindungsversuche eines Clients. Die meisten Proxyserver leiten den HTTP-Verkehr über den Port 3128.
Mit Hilfe eines Portscanners können Sie sehr schnell herausfinden, welche Ports (und damit auch, welche Internetdienste) auf einem bestimmten Server oder auch einer Workstation vorhanden sind. Ein Service-Scanner macht dabei nichts anderes, als alle Ports einzeln abzuklappern und zu prüfen, ob dort eine Antwort kommt - wenn sie kommt, ist dort ein Port aktiv und kann möglicherweise missbraucht werden. Aus diesem Grund lassen sich Portscanner auch einsetzen, um den eigenen Rechner oder Server mal auf Ports abzuklopfen, um sich anschließend zu fragen, ob und warum dieser oder jener Port wirklich geöffnet sein muss. Auf grc.com können Sie beispielsweise die Ports Ihres Rechners online prüfen lassen.
Scanner für Windows
Inzwischen gibt es auch unter Windows eine ganze Reihe von guten Portscannern und Service-Checkern. Einer davon ist SuperScan 2.06, der neben Ping- und DNS-Tools auch alle TCP-Ports auf ihren Zustand hin abklopft. Hierzu geben Sie in SuperScan einfach die IP-Adresse des zu untersuchenden Rechners ein (beispielsweise 192.168.0.1 für ein typisches Internetgateway in einer Firma), und schon erhalten Sie ein Ergebnis.
SuperScan ist Freeware und ein gutes Utility, das jeder Netzwerk-Spezialist schätzen wird. Wer sich das Tool installiert, sollte auch einen Blick in die Datei scanner.lst werfen: Hier sind zahlreiche Ports mit ihren häufigsten Funktionen und Services aufgeführt. Wer ein bisschen darin blättert, kann zum Beispiel schnell herausfinden, auf welchem Rechner im LAN jemand einen Quake-Server (Port 26000) eingerichtet hat.
Nicht minder interessant ist die Datei trojans.lst, denn sie listet die Ports, die Trojanische Pferde wie Back Orifice, NetBus, SubSeven und viele andere Trojaner verwenden. Dass eine Workstation den jeweiligen Port geöffnet hat, weist darauf hin, dass sich der entsprechende Nutzer damit infiziert hat. Da SuperScan die Suche aller Ports auch in einem ganzen Adressenbereich erlaubt, eignet sich das Programm auch für den Einsatz in größeren Netzen. Wem SuperScan nicht gefällt: ScanPort leistet im Großen und Ganzen das selbe.
Eine gute Ergänzung ist der funktional sehr kompakte Service Scanner, der genau anders herum vorgeht: Hier stellen Sie einen festen Port ein (etwa Port 23) und lassen damit dann ein Netzwerksegment absuchen. Als Ergebnis sehen Sie zum Beispiel, welche Rechner im IP-Netzwerksegment Telnet-Server betreiben.
Rechtliches zu Portscannern
Ein letztes Wort zu Portscannern: Man kann davon ausgehen, dass der Einsatz eines Portscanners gegen fremde Rechner, entweder die Ihres ISP, die PCs von Kollegen oder die Systeme anderer Nutzer im Internet, rechtlich als Vorbereitungsmaßnahme für eine Straftat im Bereich der Computerkriminalität interpretiert werden kann. Sie sollten also nur Rechner abtasten, die Ihnen gehören oder Ihrer Administration unterliegen.
Da bei einem Portscan vereinfacht gesprochen drei Kommunikationen ablaufen (Scanner sendet Anfrage, Opfer antwortet, Scanner quittiert die Antwort), muss der Angreifer seine IP-Adresse senden, um das Ergebnis seiner Abfrage überhaupt erhalten zu können. Beim Portscan ist der Angreifer als solcher also auch eindeutig identifizierbar. Das sollte sich jeder klar machen, der nun meint, er müsste wild in der Gegend herumscannen.
Portlistener
Für jeden Angriff gibt es natürlich auch eine Gegenseite, zu den Portscannern gehören dementsprechend auch Portlistener. Diese hängen sich an die offenen TCP-Ports Ihres lokalen Systems und lauschen, ob eine IP-Adresse versucht, Ports Ihres PCs auf Vorhandensein zu prüfen oder diese zu benutzen.
Ein sehr praktischer Portlistener ist Port Magic. Er zeigt sofort die IP-Adresse desjenigen an, der Ihr System nach Ports abklappert. Zusätzlich können Sie gefälschte Ports einrichten, zum Beispiel um ICQ-Portbomber auf die falsche Fährte zu locken. Auch gut: Im Falle eines aufgespürten Angriffs kann Port Magic eine externe Firewall starten - ideal für Anwender, die Tools wie NIS und Zone Alarm nicht ständig laufen haben wollen.
Erheblich ausführlicher und funktional mehr als nur ein Portlistener ist NetMon 1.53, der sich explizit als Netzwerkmonitor und Trojaner-Detector empfiehlt. Sein Problem ist, dass er bei zahlreichen Netzwerkverbindungen unübersichtlich wird. Dafür geht er mit offenen Augen durch die Welt: Wer zum Beispiel Photo Impact 5.0 benutzt, darf sich zu recht fragen, warum diese Software beim Start (bei vorhandener Internetverbindung) eine HTTP-Verbindung zu 210.71.225.7 öffnet, der asiatischen Site von Ulead.
Hier lohnt sich übrigens auch der Einsatz des Internet-Kombiwerkzeugs Cyberkit, das Tools wie Ping, WhoIs und Nameserver-Lookup in sehr übersichtlicher Weise in sich vereint und deswegen ebenfalls auf jeden IP-Rechner gehört. Ob entdeckter Portscan oder aufgezeigte Internetverbindung, mit Cyberkit hat man schnell heraus, wer einem da ans Leder wollte.
Fazit
Es gibt mehr als genug Möglichkeiten, Hackern auf seinem Rechner Tür und Tor zu öffnen. Viele Tore sind schon ab dem Zeitpunkt der System-Installation sperrangelweit offen, und mit jeder neuen aus dem Internet geholten und installierten Software tun sich neue Schwachpunkte auf.
Ein grundlegendes Verständnis des TCP/IP-Protokolls hilft, die Schwachpunkte zu erkennen und Gegenmaßnahmen ergreifen zu können. Unser Grundlagenbeitrag zu TCP/IP gibt ausführlich Auskunft über das Internetprotokoll, und seine Stärken und Schwächen.
Darüber hinaus können Sie mit den in diesem Artikel beschriebenen Verfahren Ihr System selbst sichern. Dabei ist jedoch viel mühsame Handarbeit angesagt. Leichter machen Sie es sich mit einem der Sicherheits-Pakete, die wir in einem eigenen Beitrag vorstellen. (mha)
Andreas Winterer ist freier Journalist in München mit technischen Schwerpunkten im Bereich Internet, E-Commerce und Sicherheit.