FREE ESSAY ON HACKERS

HACKERS

gescannt von:
BITLES new-hackerz@gmx.de 
Jo Hallo erstmal! Ich hab heute fur euch Hacker's Black Book gescannt (kostet normal 30
DM)! In diesem 20 Seiten langen Buch gibt es andeutungen darauf wie man hackt, genaures
findet man dann schon selber raus!
****Vorwort zum Scannen!!!****
Ich habe das Buch ja mit Texterkennung gescannt, da kann`s naturlich vorkommen, das statt
einem U ein U oder umgekehrt erkannt wird, oder das statt rn einfach ein m erkannt wird.
Beispiel: pornsite = pomsite
Hacker's Black Book
Dieser Report ist in zweierlei Hinsicht hilfreich. Er soll Menschen, die ihr Passwort
verloren haben, die Moglichkeit geben, es durch Anwendung einfacher Techniken ohne lange
Wartezeiten zuruckzubekommen und Besitzern von Websites mit geschutztem Inhalt
ermoglichen, diese Inhalte zu schutzen.
Webmaster, die die in diesem Report beschriebenen Techniken kennen, haben wesentlich
bessere Aussichten, Ihre Website sicher gegen Eindringlinge zu schutzen.
Unter der URL:
http ://zaehlwerk.de/banner/secure/
befindet sich der Mitgliedsbereich zu diesem Report.
Dort finden Sie Utilities und Tools, um die in diesem Report
beschriebenen Techniken nachzuarbeiten.
Ihr Login: Ihr Passwort: 
Hacker's Black Book
Inhaltsverzeichnis
Thema Seite
JavaScript-Passwortschutzsysteme 3
HTACCESS-Passwortschutzsysteme 4
Schwache Passworter 7
Direktes Hacken der Passwort-Datei 8
Die Admin-Tools 9
Phreaken 10
Login-Name Checker 12
Login-Generator nicht sicher 13 Bilder nicht in geschutzten Verzeichnissen 14
Packet Sniffing 15 Trojanische Pferde - NetBus und BackOrifice 16
Tip des Autors 19
JavaScript-Passwortschutzsysteme
Die einfachste Art von Passwortschutzsystemen ist der sogenannte JavaScript-Schutz. Dabei
wird der Benutzer beim Betreten einer Seite oder beim Anklicken eines bestimmten Links
dazu aufgefordert ein Passwort einzugeben. Diese Art von Schutz ist sehr einfach und
bietet nur ein Minumum an Schutz.
Beim Betrachten des HTML-Quellcodes der Seite findet sich dann oftmals ein
JavaScript-Code ahnlich dem folgenden:
*head**title* Website-Titel */title* *script*
function jprot() { pass=prompt(Enter your password,password);
if (pass == nasenbaer) {
document.location.href=http://protectedserver.com/index.html;
} eise {
alert( Password incorrect! );
}
*/script* */head*
Wie man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine
angegebene URL gesprungen. Nun sieht man, wie das Passwort zu hei?en hat und kann es
einfach eingeben oder direkt die Ziel-URL wahlen.
Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise konnte
die geheime Ziel-URL http://members.protectedserver.com/members/hu8621 s.htmL das
Passwort „hu8621s wurde als Teil der URL kodiert. Die entsprechende Schutz-Funktion
im HTML-Code der Seite sahe dann folgenderma?en aus:
function jprot() {
pass=prompt(Enter your password,password);
document. location. href=http://members.protectedserver. com/members/+pass-+- .html ;
Hier besteht mehr Schutz als in der ersten Variante, allerdmgs sind die Verzeichnisse
mittels des HTTP-Servers oft nicht gegen unerlaubtes listen des Verzeichnisses geschutzt.
Wahlt man mittels des Browsers die URL
http://members,Drotectedserver.com/members/ direkt in den Browser, so erhalt man oftmals
eine Auflistung aller HTML-Seiten in diesem Verzeichnis, also auch die Seite, die uber
den JavaScript-Passwortschutz angesprungen wird.
HTACCESS-Passwortschutzsysteme
Fast alle heute eingesetzten Webserver beherrschen den sogenannten
HTACCESS-Passwortschutz. Zuerst wurde er vom Apache-webserver eingesetzt, mittlerweile
sind jedoch viele andere Webserver zum HTACCESS-Standard kompatibel. Daher wird er auch
sehr haufig von sogenannten Paysites eingesetzt. Z.B. die Websites www.playgal.com oder
www.hotsex.com setzen diesen Schutzmechanismus ein.
Eine Website, die HTACCESS einsetzt, ist daran zu erkennen, da? bei betreten des
Mitgliedsbereichs ein Popup-Dialog erscheint (NICHT JavaScript-generiert), der
folgenderma?en aussieht: BILD FEHLT (SORRY!) Um die Arbeitsweise dieses Schutzes zu
verstehen, sollte man einige Grundlagen des Unix-Betriebssystems kennen. Unter Unix (bzw.
Linux, BSD etc.) und auch unter Windows-Webservem wie dem Microsoft US sind die
HTML-Dokumente wie auch bei einem normalen PC hierarchisch in Verzeichnisstrukturen
angeordnet und abgelegt. Man spricht hier insbesondere von einer „Baumstruktur. Die
Wurzel des Baumes (engl. „Root) ist die Domain selber ohne weitere Informationen.
Zum Beispiel www.ibm.com ist die Domain und diese ist das Root der Verzeichnisstruktur.
|-|..#root
| |-|..#members | |..#secure |....#public 
Wenn in dem Verzeichnis secure nun die zu schutzenden HTML-Dokumente und Grafiken liegen
wurden, so mu?te in diesem Verzeichnis nun ein HTACCESS-File abgelegt werden. Das File
mu? den Namen .htaccess (mit Punkt davor) tragen. Das HTACCESS-File legt fest in welcher
Datei die Passworter liegen und aufweiche Art das Verzeichnis zu schutzen ist. Das
HTACCESS-File sieht folgenderma?en aus:
AuthUserFile /usr/home/myhomedir/passes AuthName MyProtectedSite AuthType Basic.
*Limit GET POST PUT* require valid-user */Limit*
Diese HTACCESS-Datei legt fest, da? das Passwortfile die Datei /usr/home/myhomedir/passes
auf dem Server ist. Sinnvoller Weise sollte die Passwort-Datei nicht im Bereich der
HTML-Dokumente liegen, also nicht via WWW zugehbar sein. Die Optionen AuthName gibt an,
welche Bezeichnung im PopUp-Dialog erscheinen soll (im Dialog oben beispielsweise
playgal).
Das interessante am HTACCESS-Schutz ist, da? durch das HTACCESS-File auch alle
unterverzeichnisse unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei befindet,
mitgeschutzt sind. Und dies bis zu einer beliebigen Tiefe. In unserem Beispiel konnte man
also unterhalb des Verzeichnisses secure beliebig viele weitere Verzeichnisse anlegen.
Diese waren alle geschutzt.
Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine beispielhafte
Passwort-Datei:
robert:$l$4A$JRLOVdCRzYtbpekrLBYzl/
manfred:$l$30$ddEyRldHykHUo654KE01i/
thomas:$l$sa$09grRUELps.nkqkRIWLA/Ge/
Fur jedes Mitglied enthalt die Passwortdatei eine Zeile, die aus zwei Teilen besteht, die
durch einen Doppelpunkt getrennt sind. Der erste Teil ist der Login-Name, der zweite Teil
enthalt das Passwort in verschlusselter Form. Diese Verschlusselung ist sehr sicher. Sie
ist maschinenspezifisch. Das hei?t, da? selbst wenn man diese Passwortdatei in die Finger
bekommen wurde, konnte man aus den verschlusselten Passwortern nicht die wirklichen
Passworter zuruckberechnen. Bei der Passworteingabe wird das Passwort durch die
Unix-Systemfunktion crypt() kodiert und mit dem in der Passwortdatei abgelegten
verschlusselten Passwort verglichen. Ist es gleich, so ist der Login OK.
Wie man also erkennen kann, ist es sehr schwierig, in Websites, die mittels HTACCESS
geschutzt sind, zu gelangen. Allerdings sind manche Webmaster einfach zu dumm, den
HTACCESS Schutz richtig einzusetzen, und bieten so dem Angreifer einige Moglichkeiten.
Schwache Passworter
Ein schwaches Passwort ist ein Passwort, da? leicht erraten werden kann. Hier einige der
am haufigsten eingesetzten Usemame/Password Kombinationen:
asdf/asdf
123456/123456
*censored*/me
qwertz/qwertz
qwerty/qwerty
qlw2e3
abcl23
Besonders die gro?en Pay-Websites, die einige tausend Mitglieder haben, ist es sehr
wahrscheinlich, da? solche „schwachen Passworter dabei sind. Au?erdem mu? man sich
vorstellen, da? einige Mitglieder in vielen verschiedenen Websites Mitglied sind und sich
nicht alle moglichen Passworter merken wollen.
Daher wird auch oft der Name der jeweiligen Website von den Mitgliedern als Passwort
gewahlt.
Beispiel:
www.hotsex.com: username: hot, password: sex www.hotbabes.com: username: hot, password:
babes
Oder die Mitglieder benutzen einfach nur ihren Namen. Dabei sind naturlich die am
haufigsten vorkommenden Namen besonders interessant:
Im Amerikanischen zum Beispiel
john/smith john/john miller/miller rick/rick frank/frank
und weitere mehr. Im Deutschen sind naturlich andere Namen interessanter.
Der einfach zu merkende Login bestehend aus „usemame/password, so wie er auch im
Passwort-Dialog gefragt wird, kommt auch haufig vor.
Das schwachste von allen Passwortem ist allerdings das sogenannte „ENTER -
Passwort. Dabei mu? beim Erscheinen des Passwort-Dialogs einfach bestatigt werden, ohne
uberhaupt etwas einzugeben. Hat namlich der Webmaster beim Erzeugen neuer Mitglieds-Daten
einfach ohne eingabe irgendwelcher Daten aus versehen einmal unbemerkt sein Tool
gestartet, so befindet sich im Passwort-File ein eben solcher „leerer Eintrag.
An den engagierten Webmaster richten sich folgende Sicherheitstips:
• Das Erzeugen „leerer Passworter verhindern und kontrollieren
• Die Mitglieder nicht die Passworter selber wahlen lassen, sondern eines per
Zufall generieren (z.b. „kd823joq)
• Falls die Kunden ihre Usemame/Password-Kombination selber wahlen durfen, nicht
zulassen, da? der Usemame gleich dem Passwort ist.
Direktes Hacken der Passwort-Datei
Normalerweise sollte es nicht moglich sein, an das Passwort-File zu gelangen. In einigen
Fallen ist es jedoch moglich, daran zu kommen, und zwar in folgenden Fallen:
• Die Passwort-Datei liegt im public_html-Bereich des Webservers,
also in den Verzeichnissen, in denen auch die via WWW
zuganglichen HTML-Dokumente liegen ? Auf dem Webserver haben viele User einen eigenen
virtuellen
Webserver
Der zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver bei einem
gro?en Webspaceprovider mietet, der auf einem Rechner viele weitere Webserver betreibt
(z.B. www.webspace-service.de, www.webspace-discount.de, www.simplenet.com etc.) Dann ist
es moglich, an die Passwortdatei zu kommen, falls man auf dem gleichen Rechner einen
Account hat und die Passwortdatei offentlich lesbar ist. Dann kann man mittels FTP oder
TELNET in das Verzeichnis wechseln, indem derjenige seine Passwortdatei aufbewahrt und
diese lesen. Mittels eines Brute-Force-Passwort-Crackers wie „Crack V5.0 lassen
sich dann die Passworter zuruckberechnen. Das Programm braucht allerdings oft viele
Stunden dazu und es fuhrt nicht immer zum Erfolg.
Fur einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem
Webserver betreiben, den er sich mit anderen Websites teilen mu?.
Die Admin-Tools
Viele Webmaster der Paysites haben einen sogenannten „Admin-Bereich, der nur fur
sie selber gedacht ist. Dort erzeugen Sie neue Passworter oder loschen alte Passworter
etc. Oft liegen diese Admin-Bereiche jedoch nicht in einem Passwortgeschutzten Bereich.
Die Webmaster denken namlich, es wurde ja keiner die URL ihres Admin-Tools kennen. Aber
die URL ist manchmal einfach zu erraten. Oft hei?t die URL
www.thepaysite.com/admin.htm www.thepaysite.com/admin.html oder
www.thepaysite.com/admin/
Man sollte auch weitere Namensmoglichkeiten austesten. Denn gelingt es, an die
Admin-Seite zu kommen, so ist man naturlich am allerbesten bedient: Man kann selber so
viele neue Passworter hinzufugen, wie man mochte!
Phreaken
Unter „Phreaken versteht man den einsatz von falschen Informationen, um sich bei
einer Paysite als neues Mitglied zu registrieren. Das ist naturlich verboten und diese
Hinweise hier sollen in erster Linie den Webmastem dienen, damit sie sich vor solchem
Mi?brauch schutzen konnen.
Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die
Mitgliedschaft online via Kreditkarte bezahlt wird und danach sofortiger Zugang erteilt
wird.
Phreaker benutzen dazu einen anonymen Intemetzugang. Dazu wird oft der Test-Zugang von
AOL mi?braucht. Test-Mitgliedschaften finden sich nahezu in jeder Computerzeitung. Aber
auch okay.net bietet sofortigen Zugang nach Angabe aller Daten. Dabei meldet man sich mit
Phantasienamen und irgendeiner Kontoverbindung an, die man aus irgendeiner Rechnung oder
sonstwo her kennt. Schon ist man einen Monat lang anonym via AOL oder okay.net im
Internet unterwegs.
Desweiteren benotigt man eine „gultige Kreditkarten-Nummer (vorzugsweise VISA oder
Mastercard - in Deutschland Eurocard). An diese zu kommen, ist schon etwas schwieriger.
Eine gangige Methode ist es, einen sogenannten „Credit-Card-Generator wie z.b.
„Credit Wizard oder „Cardpro oder „Creditmaster einzusetzen. Ein
Suchern mittels „metacrawler.com und den Begriffen „Credit Card Generator
o.a. bringt oft schon die gewunschten Programme.
Dazu sollte man wissen, da? die Online-Transaktionszentren nicht genau uberprufen konnen,
ob eine Kreditkartennummer wirklich existiert und wem sie gehort. Es gibt lediglich
bestimmte Algorithmen, um die Nummer und die Gultigkeitsdaten einer Kreditkarte auf eine
gultige Struktur hin zu uberprufen. Daher kann man bei der Anmeldung beliebige Namen und
Adresse angeben und eine der generierten Nummern. Allerdings liefern die Generatoren
nicht das dazugehorige Gultigkeitsdatum.
Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummem mit richtigem
Gultigkeitsdatum zu erhalten: Die meisten der obengenannten Programme bieten die
Moglichkeit, aus einer real existierenden Kreditkarten-Nummer neue Nummern zu generieren.
Dieses Verfahren wird „Extrapolation genannant. Die generierten Nummern
unterscheiden sich meist nur in den letzten Stellen und da die Kartennummem bei den
Kreditkarten-Herausgebern in der Regel in aufsteigender Reihenfolge vergeben werden,
haben die so generierten Kartennummem meistens das Gultigkeitsdatum der Karte, von der
aus extrapoliert wurde. Folgender Bildschirmauszug zeig den Extrapolationsvorgang:
Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer
neue Kartennummem berechnen. Das Gultigkeitsdatum ist dann mit gro?ter Wahrscheinlichkeit
bei den
extrapolierten Nummern identisch mit dem Gultigkeitsdatum der eigenen, realen
Kreditkarte.
Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, da? man ihn
zuruckverfolgen kann. Der Zugang mittels anonymer AOL-Testzugange bietet maximalen
Schutz. Steht kein solcher Zugang zur Verfugung, sollte ein Anonymizer benutzt werden.
Einen solchen findet man beispielsweise unter www.anonymizer.com. Surfman uber den
Anonymizer, ist die IP-Adresse nicht zuruckverfolgbar. Eine etwas schwachere Variante,
seine IP-Adresse zu verstecken ist die, einen Proxy-Server zu benutzen. Die meisten
Intemet-Zugangsprovider bieten die Moglichkeit an, uber einen Proxy zu surfen.
Aber Achtung: Benutzen man seinen eigenen Internet-Zugang, also keinen anonymen
AOL-Zugang oder Anonymizer oder Proxy, so kann der Betreiber der Website, bei dem man
sich mittels der falschen Kreditkartendaten anmeldet, mittels der IP-Adresse, die der
Server protokolliert, herausfinden, wer ihn betrogen hat bzw. es versucht hat. Dazu
braucht er lediglich Ihren Zugangsprovider zu kontaktieren und ihm die IP-Adresse
mitzuteilen. Die Provider fuhren i.d.R. uber die letzten 80 Tage ein Protokoll, wann wer
mit welcher IP-Adresse online war.
Login-Name Checker
Manche Pay-Sites geben moglichen neuen Mitgliedern wahrend der Anmeldungsprozedur bereits
vor der eigentlichen Zahlung die Moglichkeit, einen Mitgliedsnamen zu wahlen. Ist der
gewunschte Name bereits vergeben, wird dies mitgeteilt und man soll einen anderen Namen
wahlen. Gibt man beispielsweise „John als Mitgliedsnamen ein, so sagt der Server
meistens, da? der Name bereits vergeben ist. Das ist naturlich eine prima Vorraussetzung
fur die oben genannten Tricks zum Erraten von Passwortem. Denn nun wei? man, da? es
zumindest den Namen „John schon gibt, somit mu? nur noch das entsprechende Passwort
erraten werden. Das ist eine wesentliche bessere Ausgangslage. als wenn man Passworter
zu
Usernamen erraten mu?, von denen man gar nicht wei?, ob sie uberhaupt existieren!
Als Webmaster einer Paysite sollte man also darauf achten, da? das Neumitglied erst nach
verifizierter Zahlung seinen Usemamen wahlen kann!
Login-Generator nicht sicher
Oftmals ist es so, da? das Neumitglied zur Zahlung von der Paysite zu einem
Kreditkarten-Service geschickt wird (z.b. www.ibill.com). Nach Verifizierung der Zahlung
kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort entsprechend
weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem Formular
geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied kann einen Usemamen
und ein Passwort wahlen und erhalt nach wahl derer sofortigen Zugang. Das Formular fugt
die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein oft gemachter
Fehler:
Geht man nach Erzeugung eines Usemame/Passwort-Paares einfach mittels des
„Back-Buttons des Browsers zuruck zum Formular, so kann man auf einfache und legale
Weise ein weiteres Username/Passwort-Paar erzeugen und das immer wieder.
Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen:
• Das Kreditkarten-Unternehmen sollte nach erfolgreicher Prufung einen einmaligen
PIN-Code ubermitteln, den man dann aus der liste der noch gultigen PIN-Codes streicht und
so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genau EINMAL
eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen
auch als „One-Time PIN-Hardcoding bezeichnet.
• Das Script, da? die Usernamen/Passworter erzeugt, sollte auch mittels der
HTTP_REFERRER-Servervariablen uberprufen, ob der User auch vom Kreditkartenunternehmen
kommt. Sonst kann ein
gewiefter Hacker ein Script schreiben, das von seinem Rechner aus einfach solange
verschiedene PIN-Nummem ausprobiert, bis es eine noch gultige findet. Sind die PIN z.B.
siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine
gultige PIN findet, wenn das Script jede Sekunde eine PIN testet. Bei einer schnellen
Intemetverbindung sind jedoch auch mehrere Tests pro Sekunde moglich!
Bilder nicht in geschutzten Verzeichnissen
Dieser Fehler ist einer der haufigsten, da er leicht ubersehen wird:
Wie bereits erwahnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis
und alle Unterverzeichnisse geschutzt. Befinden sich die Bilder der Mitgliederseiten
jedoch in einem Verzeichnis, das nicht in dieser geschutzten „Baumstruktur
enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne Eingabe von
usemame/Passwort angesehen werden. Besonders einfach ist es dann, wenn das
Bilder-Verzeichnis auch nicht gegen auflisten geschutzt ist. Dann genugt das Eingeben des
Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse haben oft den Namen
„Images oder „gfx, „pics, „pix, „pictures, „pic,
„graphics. Ein einfaches Durchprobieren mit etwas Phantasie fuhrt hier bereits oft
zum Erfolg.
Beispiel:
|-|...#root |...#images
|...#members
Das .htaccess-File liegt im Geschutzten Verzeichnis members. Dort liegen auch die
HTML-Dokumente fur die Mitglieder. Die dazugehorigen Bilder liegen jedoch in diesem
Beispiel im Verzeichnis Images, welches nicht in der members-Hierarchie ist und somit
nicht passwortgeschutzt ist. Handelt es sich beispielsweise um www.pornsite.com als root
dieser Paysite, so kann im Browser einfach die URL www.pornsite.com/images eingegeben
werden, und man erhalt eine Liste der gesammelten Bilder (vorrausgesetzt, das
Directory-Browsing ist nicht serverseitig ausgeschaltet)
Packet Sniffing
Diese Moglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es mussen
einige Vorraussetzungen getroffen werden: Sie mussen in einem LAN (Ethemet-Netwerk) an
einem Rechner sitzen und Root-Access haben. Dann kann man einen sogenannten
„Packet-Sniffer wie beispielsweise „SNOOP einsetzen. Packet-Sniffer findet
man meist als C-Sourcecode im Internet. Diese kurzen Sourcecodes muss man dann nur noch
mittels gcc auf der UNIX-Shell compilieren und schon ist es moglich, die Pakete, die zu
und von anderen Rechner im LAN gesendet werden, abzuhoren. Denn Ethernet-Netzwerke setzen
die sogenannte „Broadcasf'-Technologie ein. Ein Paket, da? fur einen Rechner in
einem LAN bestimmt ist, wird im Prinzip an alle Rechner im LAN ausgesandt.
Packet-Sniffing ist also wiederum besonders in den Fallen gefahrlich, bei denen man bei
einem Webspace-Provider seinen Webserver mietet und sich dort naturgema? mit vielen
anderen Kunden in einem LAN befindet. Ein Beispiel ist www.pair.com. einer der gro?ten
kommerziellen Webspace-Provider in den USA. Dort befinden sich uber 70 Webserver in einem
LAN, auf dem z.Zt. uber 30.000 Kunden einen virtuellen Webserver betreiben!
Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines „Segmented Networks
an. Bei einem solchen Netzwerk wird nicht die Boradcast-Technologie benutzt, sondern die
Pakete werden direkt mittels Routing-Tabellen zu dem Ziel-Rechner geroutet. Eine
besonders fur Web-Server geeignete Losung ist der Einsatz von SSL (Secure Sockets Layer).
Dies Protokoll verschlusselt alle Pakete, die somit zwar noch abgefangen werden konnen,
aber nicht mehr gelesen werden konnen. SSL wird von den meisten Webhosting-untemehmen
gegen geringen Aufpreis angeboten. SSL-Verschlusselte Webinhalte sind am Protokoll-Prefix
„https:// zu erkennen. Zum Betrieb einer SSL-geschutzten Website mu? man eine
SSL-ID haben, die es beispielsweise bei www.verisign.com gibt. Ein kleiner Nachteil ist
jedoch, da? HTTPS-Verbindungen etwas langsamer sind als
gewohnliche HTTP-Verbindungen, da ein relativ hoher Verschlusselungs-Overhead existiert.
Trojanische Pferde
Back Orifice und NetBus
Back Orifice
Die amerikanische Hackergruppe Cult OfThe Dead Cow (http://www.cultdeadcow.com)
veroffentlichte ein Programm mit dem Namen Back Orifice, das sie als Femwartungswerkzeug
fur Netzwerke bezeichnet. Da? die Intention eine andere ist, ergibt sich schon aus dem
Namen: Back Orifice (hintere Offnung) ubersetzt man hier am besten mit Hintertur, denn
das Programm macht es fast zum Kinderspiel, Schindluder mit Windows-PCs zu treiben.
Witzig die Anspielung auf MicroSchuft's Back Office-System.
Das nur 124 KByte gro?e Server-Modul la?t sich namlich an ein beliebiges
Windows-EXE-Programm koppeln, um es nichtsahnenden Anwendern unterzuschieben. Wird die
Datei unter Windows 95 oder 98 ausgefuhrt, klinkt sich der Server quasi unsichtbar im
System ein. Von diesem Moment an wartet das trojanische Pferd nur noch darauf, uber das
UDP-Protokoll geweckt zu werden.
Mit dem Client la?t sich bequem auf den befallen Rechner zugreifen.Unter anderem kann man
das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.), Tasks beenden, uvm.
Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools bekannt; neu ist
in erster Linie der Bedienungskomfort der grafischen Wartungskomponente - wenige Eingaben
und Mausklicks genugen, um Prozesse zu beenden. Tastatureingaben zu protokollieren, die
Windows-Registry zu manipulieren oder IP-Adressen umzuleiten.
Einen interessanten Praxisbericht findet man unter der deutschen Adresse
http://www.puk.de/BackOrifice/default.html oder
http://www.bubis.com/glaser/backorifice.htm
Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie
BoDetect
(http://www.spiritone.com/~cbenson/current_projects/backorifice/backorifice.htm)
oder das Programm BORED
(http://www.st-andrews.ac.uk/~sjs/bored/bored.html)
Es ist aber auch manuell sehr einfach. Back Orifice zu entfemen:
Offnen Sie die Registry (regeditexe ausruhren) und schauen unter dem Schlussel
HKEY_LQCAL_MACHINE\SOFTWARE\Microsoft\Windows\CuiTentVersion\RunServices
nach einem Eintrag mit dem Namen *blank*.exe (Default-Filename) bzw. mit einem Eintrag
der Lange 124,928 (+/- 30 Bytes). Loschen Sie diesen Eintrag; er bewirkt, da? der Back
Orifice-Server bei jedem Windows-Start automatisch aktiviert wird.
Das Programm selbst liegt im allgemeinen im Verzeichnis \Windows\System und ist daran
erkennbar, da? es kein Programm-Icon hat und eine Gro?e von 122 KByte (oder geringfugig
mehr) besitzt. Sollten Sie die Datei aus irgendwelchen Grunden nicht finden, kann es
Ihnen helfen, da? verschiedene Informationen als ASCII-String im Prgramm-Code zu finden
sind; so ist mit gro?er Wahrscheinlichkeit die Zeichenkette bofilemappingcon enthalten,
die Sie uber Suche im Explorer finden werden.
Zusatzlich zur Back Orifice-Prgramm-Datei wird im selben Verzeichnis noch die WINDLL.DLL
zum mitloggen von Tastatureingaben installiert, die Sie auch sinnvoller Weise loschen,
die aber alleine keinen Schaden anrichten kann.
Das Problem bei Back-Orifice ist, da? es schwierig ist, die IP-Adresse des Hosts zu
erkunden, da diese sich ja bei jedem Einwahlen des befallenen Rechners andert.
Dieses Problem gelost und eine noch machtigere Losung geschaffen hat Carl-Fredrik Neikter
mit seinem Programm NetBus, welches recht ahnlich ist. Es bietet noch weitgehendere
Funktionen und ist einfacher zu installieren.
NetBus
Nachdem Sie sich die entsprechende Datei herungergeladen haben, sollten Sie diese
entpacken. Nun erhalten Sie drei Dateien:
NETBUS.EXE, NETBUS.RTF und PATCH.EXE
Bei PATCH.EXE handelt es sich um das gefahrliche Infizierungsprogramm, das eigentliche
Trojanische Pferd. Starten Sie diese Datei also nicht! Die Datei NETBUS.RTF enthalt eine
kurze englische Anleitung des Authors. Die Datei NETBUS.EXE ist der „dient mit dem
Sie auf infizierte Server zugreifen konnen. Diese konnen Sie ohne Sorgen starten. Starten
Sie zum Testen den Server auf Ihrem eigenen Rechner, indem Sie eine
DOS-Eingabeaufforderung offnen und im Verzeichnis von NetBus den Server mit dem Parameter
,,/noadd starten, also
PATCH.EXE /noadd [RETURN J
Nun lauft der Server. Jetzt konnen Sie den dient starten (NETBUS.EXE doppelclicken) und
auf Ihren eigenen Rechner zugreifen. Wahlen Sie dazu als Adresse „localhost oder
„l 27.0.0. l. Wenn Sie den Server beenden wohlen, wahlen Sie im dient „Server
Admin und dann „dose Server.
Au?erdem kann das Infizierungsprogramm so geandert werden, da? es die IP-Adresse
automatisch an eine von Ihnen gewahlt Email-Adresse schickt, sobald jemand mit einem von
NetBus infizierten Rechner in das Internet geht. Dies ist der gewaltige Vorteil gegenuber
Back Orifice. Dazu wahlt man im NetBus-Client den Button Server Setup und gibt die
entsprechenden Informationen ein. Schwierig ist es lediglich, einen freien Mail-Server zu
finden, der Mails von jeder IP-Adresse akzeptiert. Dann wahlt man Patch Srvr und wahlt
die zu patchende Infizierungsdatei (standardma?ig patch.exe).
Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach
per Email an einen anderen Intemetnutzer schicken und die Datei als „Windows-Update
oder als irgendeine tolle lustige Animation bezeichnen. Die Datei kann dazu beliebig
umbenannt werden (z.b. Win98update.exe oder siedler2 patch.exe
etc.). Wird die Datei nun gestartet, passiert optisch garnichts. Jedoch hat sich der
NetBus-Server bereits auf dem Rechner versteckt installiert und wird von nun an jedesmal
automatisch gestartet, wenn der Rechner gebootet wird.
Hat man obige Veranderungen am Infizierungsprogramm vorgenommen, bekommt man nun immer
automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald dieser online
ins Internet geht. Diese IP-Adresse konnen Sie nun im NetBus-Client eingeben und den
Rechner manipulieren.
Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei
hotmail.com oder mail.com gibt.
Um Ihr System zu schutzen, empfiehlt sich Norton Antivirus
http://www.symantec.de/region/de/avcenter/ welches neben NetBus auch Back Orifice
erkennt. Sie konnen auch wiederum manuell arbeiten. Der automatische NetBus-Start ist in
der Registry unter
\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run
eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren
(patch.exe, syseditexe oder explore.exe sind einige bekannte Namen)
Weiterfuhrende Info finden Sie unter http://www.bubis.com/glaser/netbus.htm
Tip des Autors
Sollten Sie beabsichtigen, einen Passwortgeschutzten Intemetservice zu betreiben, so
kommen Sie nie auf die Idee, einen Microsoft NT-Webserver einzusetzen! Windows NT hat ein
Sicherheitssystem, das mehr Locher hat, als ein Schweizer Kase. Statt dessen sollten Sie
ein Unix-System wahlen. Leider bieten deutsche Webspace-Provider gro?tenteils NT-Losungen
an. Hier hei?t es also, Ausschau halten und ggf. konkret bei einem Webspace-Provider nach
einem Unix-Server
fragen! Ein wesentlicher Vorteil eines Unix-Servers ist neben der Sicherheit der Vorteil,
da? man sich dort auch per TELNET einloggen kann und so wesentlich mehr Kontroller uber
den Server hat. Bei NT-Servem ist dies nicht moglich! Empfehlenswert und preiswert sind
besonders unter BSDI oder Linux laufende Webserver. Wie jeder wei?, ist Linux sogar
kostenlos und Apache, einer der besten Webserver, ist ebenfalls kostenlos erhaltlich.
Au?erdem sollte man auch die Performance-Vorteile eines Unix-Systems nicht unterschatzen.
Besonders im Bereich Traffic-starker Webangebote wird fast ausschlie?lich unix
eingesetzt. Sollten Sie also beispielsweise ein Erwachsenen-Angebot mit vielen tausend
Bildern etc. planen, so lege ich Ihnen den Einsatz eines unix-Server warmstens ans Herz.
Eine interessante Website zum Thema „Unix vs. NT findet sich unter
http://www.lot-germany.com/magazin/unix-nt.htm !
***NACHWORT***
Das war das Buch, 30 DM dafur auszugeben hatte sich net gelohnt, oder?
CIAO @ all HackerZ
new-hackerz@gmx.de
BITLES