Hacker-Tools
Von Backdoors und Trojanischen Pferden
Copyright (C) 10/1998 by Howard Fuhs
Wer sich hauptberuflich mit Datensicherheit auseinandersetzt, muss sich auch zwangsläufig mit seinem Gegenspieler auseinandersetzen - dem internationalen Computeruntergrund. Und zwar mit den Leuten, welche die Telefon- und Datennetze mißbrauchen, in Computer eindringen, Daten ausspähen und manipulieren. Oder Trojanische Pferde und Computerviren programmieren und in Umlauf bringen. Dieser Computeruntergrund brachte auch ab und an einmal ein Hacker-Tool unters Volk. Dabei handelte es sich dann um einfache DOS-Programme wie z.B. ein Virus Construction Kit zum automatischen Erstellen von Computerviren oder einem War-Dialler, der ganze Telefonnummernsegmente automatisch anruft und sodann mitprotokolliert was an der jeweiligen Rufnummer angeschlossen ist (Fax, Modem, Voice, etc.). Doch in letzter Zeit erreichen die Hacker-Tools aus dem Computeruntergrund eine beachtliche (wenn nicht sogar beängstigende) Qualität. Aus den einfachen DOS-Programmen sind 32-Bit Windows-Applikationen für den Netzwerkeinsatz geworden die einfach installiert und bedient werden können. Auch die Betriebsstabilität und die Unauffälligkeit der Programme ist beachtlich.
Hier sind offensichtlich Programmierer am Werk die nicht nur ihr Handwerk verstehen, sondern die auch über tiefgreifende Fachkenntnisse im internen Aufbau von 32-bit Betriebssystemen und Netzwerken verfügen. Dies soll an einigen Beispielen erläutert werden, die erst in den letzten 12 Monaten aufgetreten sind.
L0pht Heavy Industries
Daß sich die "Hacker" in Gruppen organisieren ist nichts neues. Doch nur
wenigen dieser Gruppen ist eine längere Existenz beschieden. Oftmals
fällt eine Hacker-Gruppe innerhalb von einem Jahr wieder auseinander und
der klangvolle Name der Gruppe verschwindet in der Geschichte des
Computeruntergrunds und des Internets (so z.B. "Legion of Doom" oder
"Masters of Deception" aus dem Bereich der Phreaker).
Zwar handelt es sich bei LophtCrack um einen Brute Force Angriff auf die verschlüsselten Passwörter von Windows NT, der je nach System bis zu 70 Stunden und mehr benötigt um die meisten Paßwörter zu entschlüsseln. Doch die ersten einfachen User-Namen und einfachen User-Passwörter sind bereits nach wenigen Minuten im Klartext sichtbar und bieten einem Hacker bereits eine breite Angriffsfläche auf ein Windows NT System.
Was bisher als sicheres Betriebssystem galt, wurde 1997 von einer Hackergruppe öffentlich als verwundbar vorgeführt. Doch wenden wir uns aktuelleren Geschehnissen zu.
Cult of the Dead Cow
Wieder ein klangvoller Untergrund-Name der seit Jahren in der Internet-
Gemeinde bekannt ist. Seit einigen Monaten ist der Name plötzlich auch
den Computerzeitschriften geläufig. Denn Cult of the Dead Cow
veröffentlichten am 30.07.1998 ein sogenanntes "Remote Administration
System" für Windows 95/98 mit dem Namen "Back Orifice v1.20".
Nicht dass man von Windows 95/98 generell behaupten kann, es sei ein sicheres
Betriebssystem oder das ein "Remote Administration System" eine neue
Sache sei, doch der Funktionsumfang von "Back Orifice" war doch auf den
Gebrauch durch Hacker zugeschnitten. Mit einer entsprechenden
Installationsroutine für Windows versehen kann Back Orifice unbemerkt
installiert und gestartet werden. Nach der Installation stehen dann
Funktionen zur Verfügung wie z.B. das Abspeichern von
Tastaturbetätigungen in einer Log-Datei (Keybord-Logging ist hervorragen
geeignet um die Eingabe von Paßwörten zu protokollieren), Warmstart des
Computers, Einfrieren des Computers, Editieren der Windows Registry,
Anzeige des Systempaßwortes und des Screensaver- Paßwortes, usw. Diese
"Fernsteuerung" von Computern funktioniert auch über das Internet
(Default Listening Port 31337). Es gibt bereits Hacker, die nichts
anderes mehr im Internet machen als auf Port 31337 nach installierten
Kopien von "Back Orifice" zu suchen um dann den Rechner zu übernehmen.
NetBus
Wer glaubt, der Computeruntergrund existiert nur in den USA, der irrt.
Bereits im März 1998 hatte der Schwede Carl-Fredrik Neikter das Tool
"NetBus" im Internet veröffentlicht, welches als der Vorgänger von "Back
Orifice" angesehen werden kann. Die neuste Version von "NetBus" ist seit
September im Internet und braucht sich im Funktionsumfang hinter "Back
Orifice" nicht zu verstecken. Es können Tasten auf der Tastatur gesperrt
werden oder nach festgelegten Zeitintervallen wird das CD-ROM Laufwerk
automatisch geöffnet oder geschlossen.
Eine der interessantesten Funktionen ist aber die unbemerkte Aktivierung eines an den Computer angeschlossenen Mikrofons (bei neueren Multimedia-Notebooks bereits ab Werk eingebaut!!) um den Umgebungston zu übertragen oder auch mitzuschneiden und abzuspeichern. Man muß also nicht mehr in den Räumlichkeiten Abhörgeräte installieren, es reichen die Mikrofone welche an oder in den Computern angebracht sind.
Problematik
Diese drei Hackertools stehen nur als Beispiele für eine mitlerweile
sehr umfangreiche Sammlung von Software die für ähnliche Zwecke vom
Computeruntergrund erdacht wurde. Das Problem daß diese Software
hervorruft ist die Tatsache, daß sie nicht einwandfrei einer bestimmten
Kategorie wie z.B. Trojaner oder Back Door zugeordnet werden kann. Trotz
der sehr dubiosen Funktionsvielfalt der Software sind „Back Orifice” und
„NetBus” immer noch auch Remote Administration Systeme die für sinnvolle
Zwecke eingesetzt werden können. Es gibt zwar in Fachkreisen bereits den
Ausdruck „Malicious Code” doch auch dafür noch keine allgemeingültige
Definition was denn ein „Malicious Code” eigentlich ist. So wird z.B.
„Back Orifice” von vielen Antiviren-Programmen nicht entdeckt, da es
nicht in die Kategorie Computervirus gehört. Einige AV- Programme
entdecken „Back Orifice” als Trojaner oder als Back Door. Doch der
Weisheit letzter Schluß kann diese Art der Entdeckung nicht sein.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 10/1998 by Howard Fuhs