Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Hacker-Tools

Von Backdoors und Trojanischen Pferden

Copyright (C) 10/1998 by Howard Fuhs


Wer sich hauptberuflich mit Datensicherheit auseinandersetzt, muss sich auch zwangsläufig mit seinem Gegenspieler auseinandersetzen - dem internationalen Computeruntergrund. Und zwar mit den Leuten, welche die Telefon- und Datennetze mißbrauchen, in Computer eindringen, Daten ausspähen und manipulieren. Oder Trojanische Pferde und Computerviren programmieren und in Umlauf bringen. Dieser Computeruntergrund brachte auch ab und an einmal ein Hacker-Tool unters Volk. Dabei handelte es sich dann um einfache DOS-Programme wie z.B. ein Virus Construction Kit zum automatischen Erstellen von Computerviren oder einem War-Dialler, der ganze Telefonnummernsegmente automatisch anruft und sodann mitprotokolliert was an der jeweiligen Rufnummer angeschlossen ist (Fax, Modem, Voice, etc.). Doch in letzter Zeit erreichen die Hacker-Tools aus dem Computeruntergrund eine beachtliche (wenn nicht sogar beängstigende) Qualität. Aus den einfachen DOS-Programmen sind 32-Bit Windows-Applikationen für den Netzwerkeinsatz geworden die einfach installiert und bedient werden können. Auch die Betriebsstabilität und die Unauffälligkeit der Programme ist beachtlich.

Hier sind offensichtlich Programmierer am Werk die nicht nur ihr Handwerk verstehen, sondern die auch über tiefgreifende Fachkenntnisse im internen Aufbau von 32-bit Betriebssystemen und Netzwerken verfügen. Dies soll an einigen Beispielen erläutert werden, die erst in den letzten 12 Monaten aufgetreten sind.

L0pht Heavy Industries
Daß sich die "Hacker" in Gruppen organisieren ist nichts neues. Doch nur wenigen dieser Gruppen ist eine längere Existenz beschieden. Oftmals fällt eine Hacker-Gruppe innerhalb von einem Jahr wieder auseinander und der klangvolle Name der Gruppe verschwindet in der Geschichte des Computeruntergrunds und des Internets (so z.B. "Legion of Doom" oder "Masters of Deception" aus dem Bereich der Phreaker).

Nicht so bei L0pht Heavy Industries. Diese Gruppe ist schon seit mehreren Jahren bekannt und beglückte die Windows NT Welt mit der ersten zuverlässig arbeitenden Passwort-Cracker Software. Als Shareware im Internet erhältlich, und die Vollversion gegen einen entsprechenden Geldbetrag direkt von L0pht aus USA.

Zwar handelt es sich bei LophtCrack um einen Brute Force Angriff auf die verschlüsselten Passwörter von Windows NT, der je nach System bis zu 70 Stunden und mehr benötigt um die meisten Paßwörter zu entschlüsseln. Doch die ersten einfachen User-Namen und einfachen User-Passwörter sind bereits nach wenigen Minuten im Klartext sichtbar und bieten einem Hacker bereits eine breite Angriffsfläche auf ein Windows NT System.

Was bisher als sicheres Betriebssystem galt, wurde 1997 von einer Hackergruppe öffentlich als verwundbar vorgeführt. Doch wenden wir uns aktuelleren Geschehnissen zu.

Cult of the Dead Cow
Wieder ein klangvoller Untergrund-Name der seit Jahren in der Internet- Gemeinde bekannt ist. Seit einigen Monaten ist der Name plötzlich auch den Computerzeitschriften geläufig. Denn Cult of the Dead Cow veröffentlichten am 30.07.1998 ein sogenanntes "Remote Administration System" für Windows 95/98 mit dem Namen "Back Orifice v1.20". Nicht dass man von Windows 95/98 generell behaupten kann, es sei ein sicheres Betriebssystem oder das ein "Remote Administration System" eine neue Sache sei, doch der Funktionsumfang von "Back Orifice" war doch auf den Gebrauch durch Hacker zugeschnitten. Mit einer entsprechenden Installationsroutine für Windows versehen kann Back Orifice unbemerkt installiert und gestartet werden. Nach der Installation stehen dann Funktionen zur Verfügung wie z.B. das Abspeichern von Tastaturbetätigungen in einer Log-Datei (Keybord-Logging ist hervorragen geeignet um die Eingabe von Paßwörten zu protokollieren), Warmstart des Computers, Einfrieren des Computers, Editieren der Windows Registry, Anzeige des Systempaßwortes und des Screensaver- Paßwortes, usw. Diese "Fernsteuerung" von Computern funktioniert auch über das Internet (Default Listening Port 31337). Es gibt bereits Hacker, die nichts anderes mehr im Internet machen als auf Port 31337 nach installierten Kopien von "Back Orifice" zu suchen um dann den Rechner zu übernehmen.

NetBus
Wer glaubt, der Computeruntergrund existiert nur in den USA, der irrt. Bereits im März 1998 hatte der Schwede Carl-Fredrik Neikter das Tool "NetBus" im Internet veröffentlicht, welches als der Vorgänger von "Back Orifice" angesehen werden kann. Die neuste Version von "NetBus" ist seit September im Internet und braucht sich im Funktionsumfang hinter "Back Orifice" nicht zu verstecken. Es können Tasten auf der Tastatur gesperrt werden oder nach festgelegten Zeitintervallen wird das CD-ROM Laufwerk automatisch geöffnet oder geschlossen.

Eine der interessantesten Funktionen ist aber die unbemerkte Aktivierung eines an den Computer angeschlossenen Mikrofons (bei neueren Multimedia-Notebooks bereits ab Werk eingebaut!!) um den Umgebungston zu übertragen oder auch mitzuschneiden und abzuspeichern. Man muß also nicht mehr in den Räumlichkeiten Abhörgeräte installieren, es reichen die Mikrofone welche an oder in den Computern angebracht sind.

Problematik
Diese drei Hackertools stehen nur als Beispiele für eine mitlerweile sehr umfangreiche Sammlung von Software die für ähnliche Zwecke vom Computeruntergrund erdacht wurde. Das Problem daß diese Software hervorruft ist die Tatsache, daß sie nicht einwandfrei einer bestimmten Kategorie wie z.B. Trojaner oder Back Door zugeordnet werden kann. Trotz der sehr dubiosen Funktionsvielfalt der Software sind „Back Orifice” und „NetBus” immer noch auch Remote Administration Systeme die für sinnvolle Zwecke eingesetzt werden können. Es gibt zwar in Fachkreisen bereits den Ausdruck „Malicious Code” doch auch dafür noch keine allgemeingültige Definition was denn ein „Malicious Code” eigentlich ist. So wird z.B. „Back Orifice” von vielen Antiviren-Programmen nicht entdeckt, da es nicht in die Kategorie Computervirus gehört. Einige AV- Programme entdecken „Back Orifice” als Trojaner oder als Back Door. Doch der Weisheit letzter Schluß kann diese Art der Entdeckung nicht sein.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 10/1998 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher