»HACKER TRICKS!
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Dies ist ein Beitrag über die Hacker vorgehensweisen und soll keine Bedienungsanleitung zum Hacken sein,
im Gegenteil. Es soll lediglich Aufschluss über die vorgehensweisen von Hackern bieten um sein eigenes Computersystem
besser zu schützen!
Als Opfer wählen wir eine fiktive IT-Firma.



• Phase 1: Forschen
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Im ersten Schritt informiert sich ein Hacker genauestens über sein Angriffsziel - und zwar mit Hilfe von
frei zugänglicher Informationen. Interresant ist für ihn vor allem, wie die IT-Ausstattung von seinem Victim (Opfer)
aussieht. Aufschlussreich sind dabei die Jobangebeote des JUnternehmens, in denen Informatiker & Administratoren gesucht werden. In den Stellen-
ausschreibungen ist meist genauestens angegeben, über welche Systemkenntnisse die zukünftigen Mitarbeiter verfügen müssen,
zum Beispiel Lotus Domino, MySQL, PHP oder Linux. Hat die Firma gerade keine entsprechenden
Stelllen ausgeschrieben, stört ihn das nicht weiter. Das Web-Archiv www.Archive.org speichert in regelmäßigen Abständen große Teile des Internets.
So kann der Hacker auch auf ältere Versionen der IT-Firmen Homepage zugreifen, auf der eventuell noch relevante Stellenausschreibungen zu finden sind.


Analyse der Webserver Inhalte
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯

Anschließend nimmt der Hacker den Web-Auftritt des Unternehmens genauer unter die Lupe.
Mit einem Tool wie dem kostenlosen HT-Track kopiert er sich einen Großteil der Website auf
auf die eigene Festplatte und durchsucht die HTML-Dateien nach Datenbankabfragen und verräterischen Kommentaren der
Programmierer. Hilfreich ist auch die Darei "robots.txt", welche im Hauptverzeichnis des Webservers liegt.
Diese ist für Suchmaschinen bestimmt und informiert darüber, welche der Unterverzeichnisse diese indizieren soll
und welche nicht. Für den Hacker sind natürlich die genau die Verzeichnisse interresant, von denen Suchmaschinen ihre Finger lassen
sollen. Sie könnten interessante Konfigurationsdateien oder Scripts enthalten.


Weitere Server & IPs finden
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯

Auch die weiteren Server des Unternehmens, die aus dem Internet erreichbar sind, will der Hacker aufspüren. Asugehend von der Web-Adresse der Firma -
nennen wir sie www.IT-Firma.test - überprüft er die existenz von Unter-Servern, die nicht für die Öffentlichkeit bestimmt sind. Dazu tauscht er die Subdomain www.
gegen eine andere aus. Häufige Subdomains für interne Zwecke sind intranet.IT-Firma.test backup.IT-Firma.test und beta.IT-Firma.test.
Selbst wenn sie per Passwort geschützt sind, reicht es dem Hacker fürs Erste schon die Information, dass sie existieren.
Zusätzlich beschafft sich unser Hacker Informationen darüber, welchen IP-Adressbereich die IT-Firma im Internet reserviert hat.
Diese Information ist mit etwas Know-How frei zugänglich. Denn feste IP-Adressen müssen bei einem Provider beantragt werden, der diese wiederum bei einer von
weltweit fünf Vergabestellen für IP-Adressen registriert. Deren Datenbanken lassen sich dann z.B. über www.networks-tools.com mit der Option "Network Lookup"
abfragen. Der Hacker gibt dort den Doain-Namen der IT-Firma ein und erhält als Ergebnis neben einigen anderes Infos die "IP-Range" oder "Net-Range" - also den
IP-Adressbereich, den die Firma registriert hat.
Die genannte Web-Site hält noch andere Funktionen bereit, die für den Hacker nützlich sein können. Mit einem "DNS-Lookup" kommt er an die
Adressen der Mailserver von OFTG. Diese sind im Abfrageergebnis mit "MX" für "Mail Exchange"
gekennzeichnet.
Unter Umständen kommt der Hacker auch mit speziell formulierten Google-Abfragen an für ihn wertvolle Informationen der IT-Firmen-Server.



• Phase 2: Scannen
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Um sich ein genaueres Bild der It-Infrastruktur der IT-Firma zu machen, wird der Hacker in dieser Phase Tools benutzen, die - bildlich gesprochen
an virtullen Türklinken der Firma rütteln, um herauszufinden, welche Türen nicht oder schlecht gesichert sind.
Dazu nutzt er Spezial-Tools wie Nmap, die er auf die verschiedenen Server der IT-Firma loslässt.

Portscan mit Spezial-Tools
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯

Mit seinen Tools prüft der Hacker, auf welchen Ports welche Server-Dienste bei der IT-Firma laufen- daher auch der Name "Portscan". Der Hintergrund:
Damit eine IP-Adresse für mehrere Server-Dienste genutzt werden kann, gibt es jeweils mehrere Anschlüsse (Ports).
Je nachdem, welcher Port eines Servers angesprochen wird, meldet sich ein anderer Server-Dienst. Für Webserver lautet der Port in der regel 80.
Da dies ein Standart ist, fragt der Webbrowser bei Aufrufen einer Adresse automatisch auf Port 80 nach. Ein Mailprogramm
hingegen wird für einen POP3-Abruf einen Server standartmäßig auf Port 110 adressieren.

Manche Server Dienste geben beim Portscan gleichn auch ihre Versionsnummer preis. Dies sind wertvolle Informationen für Phase 3.
Beim normalen Portscann kann der Hacker es nicht vermeiden die eigene IP mitzuschicken, denn die Server müssen ja wissen, wohin sie die
Antwort schicken sollen. Wenn die Server mitprotokollieren, welche IP-Adresse wann auf welche Ports zugegriffen hat, lässt sich diese mit
einem richterlichem Beschluss zurückverfolgen. Es gibt zwar Portscan-Methoden, bei denen die Verbindung zum Server wieder geschlossen wird, bevor sie vollständig
aufgebaut wurde. Viele Server protokollieren aus Kapazitätsgründen solche unvollständigen Verbindungen nicht mit. Als Server betreiber sollten man dies aber trotzdem
tun.


• Anonymer Portscan über Zombie
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯

Ein neueres Verfahren, bei dem der Hacker gegenüber der IT-Firma immer anonym bleibt, nennt sich Idle Scan. Es macht sich zunutze, dass viele Betriebssysteme,
insbesondere Windows, IP-Pakete fortlaufen nummerieren und diese Nummer im Datenpaket mitschicken. Um das auszunutzen, sucht der Hacker nach einem Rechner, im
Internet, der diese Eigenschaft besitzt. Dann muss er nur noch Nmap anweisen, mit Hilfe dieses rechners - Zombie genannt - den Idle Scan auszuführen.
So geht das Tool vor: Es sendet erst ein Paket an den zombie und merkt sich die Nummer des IP-Pakets, das es als Antwort erhät. Als Nächstes sendet es ein Paket mit der
(gefälschten) IP-Adresse des Zombies als Absender an einen Server der IT-Firma. Wenn der angefragte Port offen sit, also Verbindungen annimmt, sendet der Server eine
Antwort an den Zombie. Der wiederum sendet ein paket zurück um die Verbindung zu schließen.
Wenn der Port hingegen geschlossen ist, sendet der Server stattdessen ein Kommando zum Schließen der Verbindung an den Zombie.
Dieser nimmt das stumm zur Kenntnis.
Nmap startet vom PC des Hackers as einige Millisekunden nach der ersten Anfrage eine zewite an den Zombie und wertet die Nummer des Antwortpaketes aus.
Wenn sich diese um den Wert 2 erhöht hat, folgert Nmap daraus, dass der Port des Servers offen ist: Der erste Zuwachs in der ID ist das Antwortpaket an den Server der
IT-Firma, der zweite das an Nmap. Ist der Port hingegen geschlossen, erhöt sich die ID nur um den Wert 1, nämlich für das Antwortpaket an Nmap.
Vorraussetzung: Das Ganze funktioniert aber nur, wenn der Zombie zwichen den beiden Nmap-Anfragen keine selbst initiierten Verbindungen aufbaut, also den Status "idle" hat -
daher auch der Name Idle Scan. Sollte das doch der Fall sein, wird Nmap dies in den eisten Fällen erkennen und einen neuen Versuch starten. Wenn der Zombie aber zu viel Datenverkehr
aufweist, wird Nmap aufgegeben. Der Hacker muss sich dann einen neuen Zombie suchen.
Eine weitere Möglichkeit, Portscans ohne Preisgabe der eigenen ID-Adresse durchzuführen, besteht darin im Internet nach einem schlecht gesicherten PC zu suchen. Hat der Hacker
einen gefunden, kann er einen Wurm in dessen System installieren, der die gewünschten Operationen durchführt.


• Phase 3: Zugang finden
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Jetzt, da der Hacker weiß, welche Server Programme die IT-Firma im Einsatz hat - teilweise auch, in welchen Versionen -, wird er scih darüber informieren, ob diese Anwendungen Schwachstellen haben -
und wenn ja, welche. Dazu besucht er Seiten wie www.secunia.com, www.us.cert.gov/cas/techalerts, www.hackerstorm.com oder www.osvdb.org. Wenn der Hacker fündig wird, sucht er im Anschluss nach
Detailinformationen zur Verwundbarkeit. Die genannten Seiten erhalten dazu meist nur vage andeutungen, dafür aber einen Link zum Entdecker des Bugs. Dieser stellt in vielen Fällen auf seiner Homepage ein "Exploit"
oder ein "Proof-of-Concept" vor, der zeigt, wie sich die Schwachstelle ausnutzen lässt.

Schwachstelle Buffer Overflow
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯

Eine der häufigsten Schwachstellen ist ein Pufferüberlauf (Buffer Overflow). Ursache ist letzlich immer schlampige Programmierung: Die Software-Entwickler reservieren zum Speichern einer Zeichenkette oft einen Bereich
mit einer festen Länge von beispielsweise 100 Byte. Diese Länge orientiert sich in der Regel am vermuteten maximalen Platzbedarf einer Variablen. So sollten 100 Zeichen beispielsweise allemal ausreichen, um etwa Vor- und Nach-
namen einer Person aufzunehmen - denkt der Programmierer. Daher versäumt er festzusetzen, was geschehen soll, wenn die eingegebene Zeichenkette doch einmal länger wird.
Konsequenz: Ein Überschreiten des Limits wird bei normaler Nutzung der Software kaum eintreten, sondern nur dann, wenn ein Hacker bemerkt hat, dass ein nicht terminierter Puffer vorliegt.Ist das der Fall, wird der Hacker mit seiner
Eingabe oder per Script absichtlich die Grenze überschreiten und damit einen Überlauf provozieren. Häufig werden dadurch Daten oder Programmteile der der folgenden Speicheradressen überschrieben. Die Folge: Meist stürzt die
betroffenen Anwendung "nur" ab. Gelingt es dem Angreifer jedoch, jenseits des Pufferlimits einen eigenen Programmcode in bestimte Speicherbereiche zu schieben, führt der PC den eingeschmuggelten Programmcode aus. Somit kann der
Angreifer Daten manipulieren oder gar Trojaner oder Viren einschleusen.

Ausnutzen von Schwachstellen
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯

In der Hoffnung, dass der Systemadministrator der IT-Firma die Lücken noch nicht geschlossen hat, wird der Hacker seine neu erworbene Kenntnisse dazu nutzen, um in einen Server der Firma einzudringen. Hat der Hacker Glück,
ist der Server nicht nur ans Internet angeschlossen, sonder auch ins interne Netzwerk der Firma angeschlossen. Dann kann er auf diesen Server ein unsichtbares Tool installieren, das den gesamten Netzwerk verkehr des Unternehmens
mitschneidet. Mit Hilde von Auswertungs-Tools wird er die gesammelten Daten nach Benutzernamen und Passwörten durchscannen. Außerdem sieht er, auf welche Server die meisten Mitarbeiter zugreifen und wo dementsprechend wichtige
Daten des Unternehmens liegen. Auf diese Server hat es der Hacker abgesehen. Findet er ein Passwort einer Person heraus, kann er sich damit mit hoher Wahrscheinlichkeit bei allen Servern anmelden. die diese Person nutzt.
Denn viele Anwender denken sich unvorsichtigerweise nur ein kennwort aus, das sie universell verwenden. Hat Eddie nicht das Glück, durch Sicherheitslücken auf einen Server der Firma zu gelangen, wird er andere gängige Methoden
ausprobieren.

Verhängnisvolle Standarteinstellung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯

So gibt es zum Beispiel immer wieder Fälle, in denene Systemadministratoren zum Verhängnis wird, dass sie Anwendungen mit Standarteinstellungen betreiben. Beispielsweise gab es eine Version der SQL-Datenbank-Servers von
Mircosoft, bei der der Benutzer "sa" mit Administratorenrechten und leerem Paawort zu finden war. Über eine spezielle Google-Suche ließen sich betroffene Server finden. Unzählige Firmen- und Kundendaten gelangten so in fremde
Hände. Auch legen Admins oft Test-Accounts an, deneb sie die Benutzernamen- und Passwortkombination "Test"/"Test" geben, um Dinge auszuprobieren. Anschließend vergessen sie, den Account zu löschen.

Mit Spezial-Tools zum Passwort
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯

Mit Hilfe von speziellen Tools kann der Hacker versuchen, Passwörter zu knacken. Hierfür gibt es mehrere Methoden, etwa per "Brute Force", zu Deutsch "rohe Gewalt". Dabei probiert ein Knack-Tool alle erdenklichen Buchstaben-
und Zahlenkombinationen als Passwort aus. Dieses verfahren ist jedoch zum einen sehr zeitaufwendig, da es beispielsweise bei einem 8stelligen Passwort unter Berücksichtigung von Zahlen 8 hoch 62 mögliche Kombinationen gibt.
Daher wird Brute Force nur eingesetzt, wenn eine Wörterbuch-Attacke nicht fruchtet. Diese macht sich zunutze, dass sie die meisten Anwender ein Wort aus dem normalen Sprachgebrauch als Passwort nutzen. Daher probiert das Knack-Tool
anhand einer Wörterbuchdatei auch nur solche aus. Das beschleunigt die Suche ganz erheblich. Wenn die Suche ohne Ergebnis bleibt, folgt die erweiterte Wörterbuch-Suche. Hierbei werden begriffe aus dem Wörterbuch in gemischter
Schreibwiese, im Plural und mit angehängten Zahlen (z.B. "BahNHof123") ausprobiert.
Weitere Methode, an Passwörter zu kommen, sind zum einen das "Dumpster Diving" (Mülltonnentauchen), bei dem der Hacker den Abfall eines Unternehmens nach Notizzetteln mit Passwörtern durchsucht und zum anderen das klassische "Social Engineering".


• Phase 4: Tarnen
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Hat es ein Hacker erstmal geschafft, in einen fremden Rechner einzdringen, wird er alles daran setzen, einerseits unbemerkt zu bleiben und seine Spuren zu verwischen, andererseits sich für spätere Zugriffe ein Schlupfloch offen zu halten.
Spuren verwischen: Der Besitzer des gehackten Rechners sol erst gar nicht Verdacht schöpfen, denn sonst würde er nach intensiver Suche auch alle Hintertüren finden und schließen. Um unerkannt zu bleiben, entfernt der Hacker
sämtliche Spuren seiner Aktivitäten aus allen Log-Dateien. Und wenn er die Anwendungen auf dem Rechner benutzt hat, setzt er zudem die Liste der zuletzt geöffneten Dokumente wieder auf ihren Ursprungszustand.
Zugang behalten: Um jederzeit wieder Zugriff auf das gehackte System zu erhalten - selbst wenn eventuelle Sicherheitslücken mittlerweile gestopft sind -, wied der Hacker eine Hintertür einbauen, durch die er dann ohne großen Aufwand
eindringen kann.
Dazu dient ihm zum Beispiel ein Tool, das unsichtbar im hintergrun läuft und einen Port nach außen geöffnet hält. Da der Hacker nicht gerne teilt, kümmert er sich auch darum, dass das System sicher vor anderen Eindringlingen wird.