IT-Security ForumHacker-GlossarComputer-Freaks haben ihre eigene, spezielle Sprache entwickelt. Um ein wenig Licht ins Dunkel zu bringen, wollen wir einige der am häufigsten verwendeten "Hacker"-Begriffe erklären. Attacks (engl.Angriff)Dieser Begriff wird hier im übertragenen Sinn als "Angriff auf einen Krypto-Algorithmus" oder Synonym für Crack oder Break verwendet. Es gibt unterschiedliche Angriffsarten:
Passive/Active; als passive Angriffe gelten all die Arten, die durch "lauschen" an einem Datenübertragungsmedium durchgeführt werden können - in diese Rubrik fallen zum Beispiel Sniffing-Angriffe. Aktive Angriffe zeichnen sich durch unterschiedliche Interaktionen mit übertragenen Daten (Manipulation existierender Daten oder Erzeugen neuer schädlicher Daten) aus. Im Gegensatz zu den passiven Angriffen können aktive Angriffe entdeckt werden - Ausnahmen bestätigen die Regel.
Hit and Run / Persistent; Hit and Run sind Angriffe, die ein System während der kurzen Zeit ihres Wirkens zum Absturz bringen (Ping of Death). Persistente Angriffe zeichnen sich dadurch aus, dass ein Opfer so lange "leidet", wie der Angriff dauert- wird der Angriff abgebrochen, ist das System des Opfers wieder funktionsfähig (siehe auch Smurf).
Replay; hierbei werden Daten "abgefangen" und zu einem späteren Zeitpunkt (eventuell, in abgeänderter Form) nochmals versandt. Frühere Versionen des Windows LAN Manager waren verwundbar, indem übertragene Passwörter mitprotokolliert werden konnten und diese in einer neuen Session für einen Einbruch wiederverwendet wurden.
Brute Force; bezeichnet die Methode, alle möglichen Kombinationen für einen Einbruch in ein System der Reihe nach durchzuprobieren.
Man-in-the-Middle; die Übertragungsstrecke zwischen zwei Kommunikationspartnern wird durch einen Angreifer abgehört oder sogar unterbrochen und die Daten werden eventuell in veränderter Form weitergeschickt.
Hijacking; damit wird die "feindliche Übernahme" der Seite einer Kommunikationsstrecke bezeichnet.
Sniffing; ist eine passive Angriffsart, bei der eine Netzwerkverbindung "abgehört" wird.
Rewrite; bei Rewrite - Attacken werden verschlüsselte Daten verändert, ohne dass diese zuvor entschlüsselt werden.
Back Channel (engl. Rückkanal)
Bezeichnet den Vorgang, wenn ein manipuliertes System selbständig eine Verbindung zum System des Hackers aufbaut. Ein prominenter Vertreter aus der "seriösen Ecke" ist das XWindows-Protokoll, das die Anzeige von GUI-Fenstern auf einem anderen System ermöglicht.
Backdoor (engl. Hintertür)
Ein Mechanismus, den ein Hacker auf einem kompromittierten System hinterlässt, um zu einem späteren Zeitpunkt auf einfache Art und Weise wieder einbrechen zu können. Oft werden auch Dropper dazu verwendet, Backdoors in ein System einzuschleusen. "Gute" Backdoors sind schwer zu entdecken, da sie sich meist tief in das darunterliegende System einklinken und dort ihre Spuren verwischen. So können sie auch Änderungen an der Konfiguration eines Systems oder das entfernen auffälliger Software durch einen Administrator oder einen Virenscanner "überleben". Bekannteste Vertreter dieser Art sind Back Orifice2000 und Sub7. Teilweise trifft man auch auf die Bezeichnung "Trapdoor" (engl.Falltür).
Bomb (engl.Bombe)
Der Begriff Bombe hat zwei voneinander unabhängige Bedeutungen:
logische Bombe: bezeichnet den Teil einer Software, welcher seine schädlichen Funktionen nicht sofort, sondern erst zu einem definierten Zeitpunkt oder nach Ablauf einer Frist ausführt.
Mail-Bombe: bezeichnet den Effekt, der sich einstellt, wenn man eine große Anzahl eMails zugesandt bekommt, die entweder die Mailbox und/oder das Netzwerk aufgrund des großen Datenvolumens überlasten.
Brute Force (engl. rohe Gewalt)
Ist eine Angriffsart, bei der alle möglichen Kombinationen so lange durchprobiert werden, bis eine Erfolg hat. Meist wird dieser Begriff für kryptographische Verfahren benutzt, bei denen der richtige Schlüssel zum Decodieren einer verschlüsselten Nachricht gefunden oder Passwörter erraten werden sollen. Brute Force steht oft auch für "die aufwendigste Vorgehensweise" und wird bei der Beschreibung von Verschlüsselungsverfahren gern als Maßstab für deren Güte missbraucht, indem berechnet wird, wie lange man per Brute Force Schlüssel ausprobieren müsste, um das Verfahren zu knacken.
Broadcast Storm
Ein Broadcast Storm entsteht, wenn eine Nachricht oder ein Datenpaket an eine Broadcast-Adresse versandt wurde und alle angesprochenen Rechner darauf antworten. Werden diese Antworten (z. B. aufgrund einer gespooften Absenderadresse) an eine Broadcast-Adresse versandt, entsteht ein Schneeball-Effekt, den nur noch "Steckerziehen" abbricht. Durch sorgsame Konfiguration von Broadcast-Adressen oder indem diese nicht aktiviert werden lässt sich dieses Problem bereits vor dem Auftreten verhindern.
Buffer Overflow / Overrun (engl. Pufferüberlauf)
Ein Overrun ist eine Exploit-Form, bei der an ein Programm eine größere Datenmenge übertragen wird als dessen Programmierer erwartet hat und die in der Regel dann Programmteile mit den "übergelaufenen" Daten überschreibt. Diese Daten können entweder zu einem Denial of Service führen, indem sie das System zum Absturz bringen, oder sie enthalten bei cleveren Angriffen ausführbaren Code, der dann statt des ursprünglichen Programm-Codes ausgeführt wird und Schaden anrichten kann. Ursache ist einer der am häufigsten vorkommenden Programmierfehler (fehlende oder falsche Längenprüfungen von Daten). Meist sind in der Programmiersprache C realisierte Programme betroffen, da in dieser Sprache ein Programmierer selbst für die Überprüfung der Länge von Daten zuständig ist. In Script-Sprachen oder Sprachen wie Java tritt dieser Fehler gar nicht oder selten auf, da hier Compiler bzw. Interpreter die Überprüfung durchführen.
Camping
Eine Technik, bei der ein Angreifer eine Reihe von Zugängen eines ISPs auf Aktivitäten überwacht bzw. eine große Anzahl von IP-Adressen zum Beispiel per Ping abtestet. Sobald ein Rechner eine dieser IP-Adressen zugewiesen bekommen hat und online ist, werden automatisch Programme aktiviert, welche die bekannten oder zu erwartenden Sicherheitslücken der heimischen PCs ausnutzen versuchen, da diese in der Regel über keine oder nur sehr spärliche Sicherheitsvorkehrungen verfügen.
Crack, Cracker und Crackz
Als Crack wird der Vorgang bezeichnet, bei dem Passwörter dechiffriert oder der Kopierschutz von Soft- und Hardware umgangen werden soll. Systemadministratoren verwenden Crack-Programme, um unsichere Passwörter in ihrem System zu finden und betroffene Anwender zu veranlassen, ein sichereres Passwort zu wählen. Daher bezeichnet man einen Hacker, der sich auf das Ausspionieren von Passwörtern und das Umgehen von Kopierschutz spezialisiert hat, als "Cracker" und das Produkt dieser Arbeit, die Programme ohne aktiven Kopierschutz, als "Crackz".
Defaults (engl. Standardwerte)
Wird ein neues System konfiguriert, setzt der Hersteller zuvor Systemparameter wie Passwörter, Ports oder Zugangsberechtigungen auf Standardwerte. Diese sind meist jedem, der das betreffende System kennt, bekannt und können dann auch als Exploit ausgenutzt werden.
Directory Climbing
Ist eine Form von Exploit, bei der der Fehler ausgenutzt wird, dass Pfade von Dateinamen fehlerhaft oder gar nicht geprüft werden. Durch das Voranstellen von "../../.."-Kombinationen entstehen relative Dateipfade, über die dann Dateien in Verzeichnissen ansprechbar sind, für die eigentlich keine Berechtigung besteht.
DoS - Denial of ServiceDoS - Denial of Service (engl. Verweigerung eines Dienstes; auch "Nuke" genannt)
DoS ist die Bezeichnung für einen Exploit, der die Benutzung eines Dienstes auf einem angegriffenen System verhindert, indem er Programme oder ganze Systeme zum Absturz bringt oder blockiert. Es gibt verschiedene Arten von DoS:
System Flooding; ein System erhält große Datenmengen, so dass die normalen Daten nicht mehr "durchkommen".
Service Flooding; an Dienste wie IRC werden mehr Events versandt, als durch diese abgearbeitet werden können.
Bombs; s. o.
TCP/IP Crashing; durch Versenden von fehlerhaften TCP/IP-Paketen werden die Betriebssystemroutinen "verwirrt" bzw. der komplette Netzwerkverkehr unterbrochen; ein Beispiel ist der bekannte Ping of Death.
Service Crashing; das Versenden von unerwarteten Daten bringt ein System zum Absturz oder zu Fehlverhalten.
DDoS - Distributed Denial of Service
DDoS ist eine Art DoS-Angriff, bei dem Systeme so synchronisiert werden, dass sie gleichzeitig ein einzelnes System angreifen und dieses zum Absturz bringen. Vor allem bei Flooding-Angriffen wird dies ausgenutzt, indem die beschränkten Bandbreiten einzelner Angreifer in der Summe die dem Opfer zur Verfügung stehende Bandbreite übersteigen und das System dann überlasten.
Dropper (drop, engl. fallen lassen)
Dropper sind Programme, die vor allem im Viren- und Trojaner-Umfeld Malware in ein System einschleusen und dort installieren. Meist werden sie als sinnvolle und hilfreiche Programme getarnt, um Aufmerksamkeit zu erwecken und die Hemmschwelle für ihre Benutzung herunterzusetzen.
Exploit (engl. ausnutzen)
Bezeichnet in diesem Zusammenhang ganz allgemein das Ausnutzen von Programmier- oder Konfigurationsfehlern in Systemen, um in diese einzudringen. Exploits teilen sich in mehrere größere Kategorien auf: Buffer Overflow, Directory Climbing, Defaults, Denial of Service.
Flooding (engl. Überflutung)
Bezeichnet eine Klasse von Angriffen, bei der ein Opfer mit Informationen "überflutet" wird, so dass das angegriffene System überlastet wird (siehe auch DoS).
Hijacking (engl. entführen)
Ein Angriff, bei dem ein Angreifer eine Seite einer authentifizierten Netzwerkverbindung übernimmt und eventuell zuvor den Kommunikationspartner "nuked" (siehe DoS). Da in der Regel die Authentifizierung nur am Anfang einer Verbindung stattfindet, kann der Angreifer ohne weitere Sicherheitsabfragen anstelle des ursprünglichen Kommunikationspartners agieren.
Hacker
Der Begriff Hacker wird in Computer-Kreisen für jemanden verwendet, der sich in den "Innereien" von Computern, Informationssystemen oder ganz allgemein in bestimmten Technologien so gut auskennt, dass er die Abläufe nach seinen Wünschen manipulieren kann. Ein Hacker ist also nicht grundsätzlich ein "Einbrecher in Computersysteme" und nicht unbedingt böswillig. Böswillige Hacker werden teilweise als Cracker bezeichnet, während andere diesen Begriff lediglich für Leute verwenden, die verschlüsselte Daten dechiffrieren oder sich auf das Umgehen des Kopierschutzes von Programmen spezialisiert haben.
Island Hopping (engl. Inselhüpfen)
Vorgang, bei dem ein System, in welches man bereits eingebrochen ist, als "Basis" (Insel) verwendet wird, um von dort weitere System anzugreifen.
Keystroke Logging (engl. Tastendruck protokollieren)
Keystroke Logger sind Programme, welche vom Opfer unbemerkt im Hintergrund ablaufen und die Tastendrücke des Anwenders mitprotokollieren. Diese Protokolle werden dann an den Hacker übermittelt, der darin nach Passwörtern oder ähnlichen geheimen Informationen sucht. Häufig werden solche Funktionen in Remote Administration Trojans integriert (siehe RAT).
Malware
Allgemeiner Begriff für jede Art "böswilliger" Software wie Viren, Trojaner, logische Bomben usw.
Man-in-the-Middle-Attack
Eine Angriffsart, bei der sich der Angreifer (zum Beispiel bei einer Netzwerkverbindung) so zwischen die beiden Kommunikationspartner "drängt", dass beide meinen, sie würden mit dem gewünschten Partner kommunizieren - in Wahrheit kommunizieren aber beide Seiten mit dem Mittelsmann, der die übertragenen Daten abfängt, auswertet und eventuell (unbemerkt) in veränderter Form wieder weiterleitet.
Network Meltdown
Bezeichnet den Zusammenbruch bzw. den Zustand eines Netzwerks, in den es aufgrund exzessiven Datenaufkommens geraten ist. Oft ist die Ursache in außer Kontrolle geratener Broadcast Storm. Aber auch sonst kann dies eintreten, wenn die Bandbreite für die zu erwartende Datenmenge zu klein bemessen wurde und die gewollten Netzwerkverbindungen die Infrastruktur bereits überlasten.
Nuke
Der Begriff wird in diesem Zusammenhang als Synonym für DoS verwendet.
Packet Filter
Packet Filter sind Programme, welche Datenpakete (in der Regel TCP/IP-Pakete) anhand ihrer Herkunft (IP-Adresse, TCP-Port), ihres Bestimmungsorts (Ziel-IP-Adresse, TCP-Port) und verschiedenen Datenfeldern in den Paket-Headern untersuchen und sie verwerfen, sofern deren Weiterleitung oder Empfang nicht gewünscht wird. Normalerweise sind Paketfilter dieser Art Teil einer Firewall-Infrastruktur.
Passiv Attack (engl. passiver Angriff)
Als passive Angriffe werden all diejenigen Angriffsformen bezeichnet, bei denen nicht direkt in ein System eingegriffen und mit diesem interagiert wird. Ein Beispiel sind Sniffer, die lediglich den Datenverkehr auf einer Leitung abhören, in der Hoffnung, interessante oder geheime Daten ausspionieren zu können. Im Gegensatz zu aktiven Angriffen ist diese Form gar nicht oder nur sehr schwer zu entdecken, da weder Daten noch Systemkomponenten verändert werden.
Phreaking
Als Phreaking werden alle Angriffe auf Telekommunikationssysteme bezeichnet.
Ping of Death
PoD ist ein Exploit, bei dem Hilfe von IP-Fragmenten Buffer Overruns und damit verbunden meist Systemabstürze im TCP/IP-Stack des Opferrechners provoziert werden. Ping stammt von dem weithin bekannten Unix-Tool, welches dazu missbraucht werden kann, so große Datenpakete zu versenden, dass diese vor der Übertragung fragmentiert werden müssen und beim Zielrechner zu dem "gewünschten" Effekt führen.
Portscanner
Als Portscanner bezeichnet man ein Programm, welches versucht, eine Verbindung zu allen 65.535 möglichen Ports (Kommunikationssendepunkten) eines Rechners aufzubauen, um festzustellen, ob ein Server-Dienst damit verbunden ist. Meist stellt dies die Vorstufe für Exploits des angesprochenen Server-Programms dar. Komplette Portscans sind äußerst selten, da sie leicht in den Logdateien des Zielrechners zu entdecken sind. Stattdessen werden meist nur kleine Port-Bereiche gescannt (siehe Strobe), hinter denen man einen Server-Dienst erwartet (z.B.nur Wellknown Ports: Ports mit Nummer zwischen 1 und 1024). (Siehe Stealth Scan.)
RAT- Remote Administration Trojans
Trojaner, die einen Angreifer neben dem reinen Zugang zu einen infizierten System auch die Möglichkeit bieten, verschiedene Funktionen und Aufgaben fernzusteuern. Genau wie Viren oder "normale" Trojaner schleusen sie meist Dropper in ein System ein und installieren sie. Prominente Vertreter sind Back Orifice 2000, NetBus und SubSeven.
Rookit
Als Rookit werden meist "Unix- Trojaner" bezeichnet, deren Aufgabe es ebenfalls ist, einem Hacker einen einfachen Zugang zu einem System zu gewähren. Neben standardmäßigen Passwort-Sniffern und Backdoor-Programmen enthalten Rootkits meist auch Funktionen, um Logdateien zu manipulieren und ihre Aktivitäten zu verwischen (Log Cleaners).
Scavenging (Scavenger, engl.Aasgeier);
Bezeichnet eine Technik, bei der Hacker nach offengebliebenen Verbindungen suchen und diese übernehmen (eine Mischung aus Camping und Hijacking). Solche Verbindungen können auftauchen, wenn eine existierende Verbindung, zum Beispiel aufgrund eines Rechnerabsturzes (so etwas soll es ja noch geben), einseitig abrupt beendet wird.
Smurf
das ist der Name für einen Exploit, bei dem ein Angreifer eine gespoofte Absenderadresse vortäuscht und von dieser Adresse aus einen Ping-Request an eine Broadcast-Adresse verschickt. Jeder Rechner, der durch diese Broadcast-Adresse erreicht wird, antwortet daraufhin mit einem Ping Reply an den gespooften Rechner, der dadurch mit sehr vielen Antwort-Paketen "bombardiert" und im schlimmsten Fall überlastet wird.
Sniffing (engl. schnüffeln)
Ein Sniffer ist ein Programm, das eine Datenleitung "anzapft" und den über diese Leitung laufenden Datenverkehr abhört, um geheime Daten wie Passwörter auszuspionieren. Für diese passive Angriffsart muss man einen direkten Zugang zu dem Übertragungsmedium zwischen den beiden auszuspionierenden Kommunikationspartnern haben. Dies ist in LANs relativ einfach, da in der Regel alle Rechner an einem Ethernet- oder TokenRing-Strang angeschlossen sind. Schwieriger gestaltet sich Sniffing, wenn man die Leitung zwischen einem Heimanwender und dessen ISP abhören möchte (außer man gräbt die Telefonleitung aus oder bricht in das Gebäude ein).
Social Engineering
Dies ist eine effiziente, aber oft unterschätzte Angriffsart, bei der weniger der Rechner eines Opfers als dessen Gedanken, Eigenheiten und sein soziales Umfeld ausgenutzt werden. Dies geschieht zum Beispiel, indem man durch Ausprobieren von Namen aus dem Umfeld des Opfers (Freundin, Ehemann...) Passwörter errät. Da häufig dasselbe Passwort an verschiedenen Stellen verwendet wird, erhält man oft auf einfache Art die Berechtigung für viele Zugänge. Unter Social Engineering fällt auch die Kategorie, bei der man sich direkt an den Rechner des Opfers setzt, welcher ohne Passwortschutz und ohne vorheriges Ausloggen (Mittagspause oder Kaffee holen sind beliebte Situationen) "offen" hinterlassen wurde.
Spoofing
Bezeichnet den Vorgang, bei dem sich jemand als ein anderer ausgibt bzw. dessen Identität annimmt. Speziell im Netzwerkumfeld bedeutet dies meist Fälschen der IP-Adresse des Absender, um dem Empfänger einen seriösen Absender vorzugaukeln. Meist denkt man im Zusammenhang mit Spoofing deshalb sofort an "maskierte Clients". Der umgekehrte Fall - ein Server gibt sich für einen anderen aus und bietet zum Beispiel anstatt der erwarteten Software infizierte Malware zum Download für ahnungslose Clients an - ist genauso bedenklich. Eine sehr einfache Methode ist die Angabe der URL "xyz" unter der angeblich sicherheitsrelevante Patches zum Download bereitliegen sollen - wem fällt schon gleich die falsche URL auf? Die Spoofing- Methode, die zum Beispiel Smurf verwendet, wird als Blind Spoofing bezeichnet, da man nicht mehr an der Antwort auf die selbstversandten Pakete interessiert ist. In diesem Fall ist es fast unmöglich, den Ursprung der Attacke herauszufinden. Alle anderen Arten verbergen den Angreifer nur mehr oder weniger gut und können mit etwas Aufwand bis zu diesem zurückverfolgt werden.
Strobing
Ähnlich wie beim Portscanning werden beim Strobing Ports des Opferrechners auf angehängte Server-Dienste untersucht. Allerdings werden nur wenige Ports, normalerweise weniger als zehn, zum gleichen Zeitpunkt geprüft, um die Gefahr, entdeckt zu werden, zu minimieren. Zum "Ausgleich" wird der Angriff gleichzeitig auf viele einzelne Rechner ausgedehnt.
Stealth Scan (engl. heimliches Absuchen)
Wie auch beim Strobing versucht man bei Stealth Scans die Tatsache des Scannens zu verschleiern. Dies geschieht bei dieser Methode beispielsweise, indem man den Aufbau der TCP-Verbindung (Three-Way Handshake) nicht komplett durchgeführt, sondern nach der Hälfte der Verbindungssequenz abbricht. Der Angreifer hat dann bereits die gesuchte Information, nämlich dass sich hinter dem Port eine Applikation befindet, diese wird aber aufgrund des "missglückten" Verbindungsaufbaus nicht benachrichtigt und der Versuch wird daher auch nicht protokolliert. Diese Vorgehensweise wird auch als TCP Half-Open Scan bezeichnet. Viele der aktuelleren Überwachungs-Tools können hiermit allerdings auch nicht ausgetrickst werden.
SYN-Flooding
Um eine TCP-Verbindung aufzubauen, muss die Server-Seite vom Interesse eines Client in Kenntnis gesetzt werden. Dies geschieht, indem ein Client ein TCP-Paket versendet, in dessen Header das sogenannte SYN-Flag gesetzt ist. Normalerweise ist dies der Anfang des TCP Three-Way Handshake, bei dem Client und Server einige Kommunikationsparameter austauschen und nach dem die eigentliche Verbindung aufgebaut ist. Wenn der Client zu lange benötigt, um sich zurückzumelden, gibt der Server nach einiger Zeit die allokierten Ressourcen wieder frei. Diese Art des DoS sendet nun vom Rechner des Angreifers aus nur Pakete, in denen das SYN-Flag gesetzt ist, ohne jedoch die TCP-Verbindungssequenz weiterzuführen. Dies führt nach einiger Zeit auf dem Server dazu, dass dessen Kapazität an offenen Verbindungen (halb-offen in diesem Fall) erschöpft ist und er deshalb keine weiteren Netzwerkanfragen mehr bearbeiten kann.
Teardrop (engl. Träne)
Ist wie der Ping of Death ein Exploit, der auf fehlerhaften IP-Fragmenten basiert. Anders als PoD generiert Teardrop IP-Pakete, die sich aus Sicht des Empfängers überlappen, das heißt die Sequenznummern sind nicht korrekt angeordnet. Je nach Implementierung des TCP/IP-Stack kann es dadurch zu Buffer Overruns kommen mit den bereits beschriebenen Möglichkeiten, diesen auszunutzen.
Time Bomb (engl. Zeitbombe)
Ausdruck für Malware, die ihre schädliche Funktion erst nach einer Frist oder zu einem bestimmten Zeitpunkt aktiviert.
Trojaner
Ein Trojaner ist eine Art von Malware, die in einer seriös ausschauenden Hülle (oft in einem nützlichen Programm) einen schädlichen Inhalt verbirgt. Er soll das Opfer dazu bringen, die Malware auf den eigenen Rechner zu transferieren und das "nützliche" Programm zu starten.
|
