Bedrohung

Live-Hacking

Live gehackt ist halb gefixt

Von Sebastian Schreiber, Tübingen

Auch Menschen, die eigentlich schon wissen, wie leicht man Sicherheitslücken zum Einbruch in Systeme ausnutzen kann, staunen meist nicht schlecht, wenn sie das live erleben. Oft genug braucht es dieses zusätzliche Aha-Erlebnis, damit tatsächlich reagiert wird. Die Erfahrungen von einem Tag "Live-Hacking" auf der Fachmesse SYSTEMS liefern einen anschaulichen Beweis, dass auch altbekannte Probleme Angreifern immer noch breite Zugangswege eröffnen.

Wie einfach erfolgreiche Angriffe mittels im Internet verfügbarer Tools durchzuführen sind, demonstriert SySS-Geschäftsführer Sebastian Schreiber seit einigen Jahren dem interessierten Fachpublikum auf Messen und Kongressen. Ziel ist es im Rahmen einer spannenden Präsentation auf die meist unterbewerteten Risiken durch Computermissbrauch hinzuweisen. Und da ein schlichter Hinweis im Rahmen einer Messe oft wenig beachtet wird – schließlich weiß man ja um die prinzipiellen Risiken –, führt SySS die Angriffe live und in "freier Wildbahn" durch. Durch diesen Anschauungsunterricht zeigen sich viele vermeintlich alte Hüte in neuem Licht.

Ein simples und dennoch eindrucksvolles Werkzeug, um Zugriff auf fremde Systeme zu erhalten, ist die Installation von trojanischen Pferden. Dazu muss man nicht erst in ein Unternehmen einbrechen: Das Internet liefert neben über eintausend Trojanern auch praktische Tools, mit denen sich die "Fernwartungsprogramme" unauffällig mit einer beliebige EXE-Datei verschmelzen lassen. Wo ausführbare Dateianhänge in E-Mails nicht prinzipiell blockert werden, genügt dann der unvorsichtige Doppelklick eines Mitarbeiters auf ein "selbstentpackendes Bildarchiv" oder den neuesten "Super-Screen-Saver", um eine Hintertür ins Firmennetz zu öffnen.

Hat man beispielsweise mit NetBus oder Cafeini die Verfügungsgewalt über einen Windows-PC erlangt, so kann man aus der Ferne damit allerlei Schabernack treiben, was bei den Live-Demos regelmäßig zur Freude des Publikums beiträgt: Klick! und auf dem befallenen Rechner öffnet sich die CD-Schublade. Nervig: einzelne gesperrte Tasten des Opferrechners, ein ferngesteuerter Mauszeiger und Änderungen in einem geöffneten Word-Dokument. Und den Webbrowser des Opfers auf Knopfdruck auf  www.Playboy.com zu schicken, kann einen Anwender – insbesondere bei Anwesenheit seines Vorgesetzten – schon in üble Erklärungsnöte bringen.

Trojans Rule

Doch außer zu solchen Streichen lassen sich die kostenlosen und weit verbreiteten Trojaner auch zu handfester Industriespionage einsetzen: Per Mausklick lässt sich ein Angreifer den Bildschirminhalt des Opfers anzeigen, spioniert seine Tastatureingaben inklusive Passwörtern aus und holt sich Kopien vertraulicher Dateien von der lokalen Festplatte – selbst eine Dateiverschlüsselung hilft dann nicht, wenn der Angreifer Entschlüsselungssoftware und Passwort frei Haus mitgeliefert bekommt. Verfügt der Rechner des Opfers über ein Mikrofon, so lässt er sich als Wanze einsetzen, die über das Netzwerk abgehört werden kann.

Viele Admins fühlen sich bezüglich Trojaner-Attacken sicher, weil sie Anti-Virus-Lösungen oder (Personal) Firewalls im Einsatz haben. Leider identifizieren Antiviruslösungen aber nur altbekannte Trojaner. Zentrale Firewall-Systeme erlauben zwar nur bestimmte Ports, aber Trojaner-Kommandos lassen sich sogar über HTTP-Proxies tunneln. Personal Firewalls sorgen zwar dafür, dass gewollt installierte Applikationen nur über definierte Ports kommunizieren dürfen (z. B. könnte Outlook nur der Zugriff auf Port 110 (POP-3) und 25 (SMTP) gestattet sein). Die meisten Personal Firewalls lassen sich aber durch bloße Namensänderung von Prozessen oder dem Eingriff in die Windows-Registrierung austricksen. Um als Trojaner Zugriff auf das Internet zu erhalten, genügt es oft schon, den digitalen Eindringling outlook.exe zu nennen.

Beim Experimentieren mit solchen Trojanern ist übrigens auch für den Sicherheitsexperten besondere Vorsicht geboten. Vor dem Cafeini-Trojaner warnen wir besonders. Er verfügt über undokumentierte Features: Er schickt vertrauliche Informationen unaufgefordert vom Cafeini-Server zu einer polnischen E-Mail-Adresse und startet nach Möglichkeit EXE-Dateien, die er eigens von einem polnischen Webserver bezieht. Der Trojaner ist also selbst trojanisiert.

Freigiebige Windowsuser

Etliche Windowsbenutzer geben einzelne Verzeichnisse oder sogar ganze Festplatten als Netbios-Shares frei, um über das Netzwerk darauf zuzugreifen. Die Aussteller auf der IT-SecurityArea der SYSTEMS sind auf den Schutz von IT-Netzen spezialisiert. Man hätte erwarten sollen, dass sie ihre Systeme auch auf der Messe vor unerwünschtem Zugriff sichern. Vor den Augen des Fachpublikums haben die Live-Hacker getestet, inwiefern dies tatsächlich der Fall ist. Das Ergebnis war ernüchternd- Es zeigte sich, dass eine Vielzahl von Rechnern ohne jeglichen Schutz direkt mit dem Messe-LAN oder sogar Internet verbunden waren. Doch damit nicht genug: Einige Rechner hatten die gesamte Festplatte C:\ freigegeben. Zum großen Erstaunen waren selbst Zugriffe auf das Fahrtenbuch eines renommierten Sicherheitsberaters möglich – quasi per Mausklick.

Um sicherzustellen, beim Live-Hacking nicht den Bereich des Legalen zu verlassen, stand auf der IT-SecurityArea auch Rechtsanwalt Ulrich Emmert mit auf dem Podium. Ein Raunen ging durch das Publikum, als er kommentierte, dass solche Einblicke in vertrauliche Informationen keinesfalls verboten sind, da es sich um einen Zugriff auf völlig ungeschützte Informationen handelte. Offensichtlich fühlen sich einige Aussteller im Messenetz genauso sicher wie im eigenen Firmennetz oder mussten ihre Systeme "erstmal ans Laufen bringen", bevor sie sich um ihre Sicherheit kümmern konnten.

Die Freeware LANguard leistet gute Dienste beim Aufspüren "offener" Windows-Shares.

Heilsamer Schock

Zum Glück blieb der Vortrag nicht ohne Wirkung: Bereits am nächsten Tag der SYSTEMS war der Großteil der identifizierten Freigaben verschwunden. Eine Erfahrung, die sich auch im Beratungsalltag zeigt: Erst, wenn ein theoretisch bekannter Angriff in der Praxis tatsächlich auftaucht, zeigen manche Manager Bereitschaft, Verzögerungen, Bequemlichkeits- oder Funktionalitätseinbußen hinzunehmen. Aktuelle Bestrebungen, Hackertools per se zu verbieten [1], hätten einen solchen Beweis unmöglich gemacht – und die Windows-Freigaben wären einem böswilligen Hacker vermutlich weiterhin zur Verfügung gestanden.

Kostenlose Scanning-Tools sind zahlreich im Internet erhältlich, auch aus renommierten Quellen. Für Netbios-Checks eignet sich beispielsweise hervorragend Languard ( www.gfi.com), für weitergehende Scans etwa Nmap ( www.insecure.org), Nessus ( www.nessus.org) oder Stealth ( www.nstalker.com). Auf dem Markt befinden sich zudem hervorragende kommerzielle Tools, die allerdings ihren Preis haben (z. B. der Internet Scanner von ISS oder der Net Recon von Symantec).

Sniffing trotz Switch

Eine einfache Übung ist das Ausspähen von Informationen im lokalen Netz (LAN): TCP-Pakete, die von einem Rechner zu einem anderen übertragen werden sollen, liefert ein einfaches Netzwerk (in der Regel der Hub) bereitwillig an beliebige andere Systeme aus. Administratoren vertrauen oft darauf, dass der Einsatz eines Switches solches Sniffing vereitelt. Das Abhören in geswitchten Netzen ist zwar anspruchsvoller, aber mit etwas Erfahrung dennoch einfach zu realisieren: Durch gespoofte ARP-Pakete (Address Resolution Protocol) lassen sich die ARP-Caches der einzelnen Systeme manipulieren (ARP Cache Poisoning), sodass sämtliche Pakete an einen Angriffslaptop im LAN geliefert werden, der seinerseits die Pakete an den eigentlichen Empfänger weiterleitet. Was kompliziert klingt, lässt sich mühelos vorführen.

Sniffing trotz SSL

Beim Internetbanking/Broking verlassen sich Anwender oft auf verschlüsselte Verbindungen (HTTPS/SSL, Secure Socket Layer). Leider handelt es sich dabei oft um eine trügerische Sicherheit: Verschlüsselung ist zwar ein Garant dafür, dass kein passiver Angreifer die versandten Informationen auslesen kann. Es wird aber nicht ohne weiteres sichergestellt, dass der Benutzer mit dem gewünschten Partner kommuniziert. Auf der SYSTEMS-Vorführung konnte SySS durch DNS-Spoofing einen Mitarbeiter als Comdirect-Kunden, der über das Web auf  www.comdirect.de zugreifen wollte, einfach auf einen eigenen Server umleiten. Um ihm seine gewohnte Weboberfläche zu bieten, leitet ihn dieser – ähnlich wie ein WWW-Proxy – auf den echten Server der Comdirect-Bank weiter.

Beim initialen SSL-Schlüsselaustausch und der nachfolgenden Kommunikation agiert der Hacker-Rechner als Man-in-the-Middle und sorgt dafür, dass Client und Server jeweils die Public-Keys des Hacker untergejubelt bekommen. Gibt das Opfer beim Online-Broking beispielsweise seine Zugangsnummer und PIN ein, so schickt es sie zwar verschlüsselt, aber mit dem Key des Hackers auf die Reise. Der Angreifer entschlüsselt die PIN und verschlüsselt sie anschließend erneut mit dem Public-Key der Comdirect-Bank. Ein argloser Anwender kann also wie gewohnt mit seiner Bank kommunizieren – aber der Man-in-the-Middle liest mit und kann Eingaben oder Antworten manipulieren.

Bei der Man-in-the-Middle-Attacke gegen SSL mimt ein zwischengeschalteter Angreifer den jeweils anderen Kommunikationsteilnehmer. Nach dem initialen Schlüsselaustausch kann er auf dem vermeintlich sicheren Kanal mitlesen und manipulieren – Schutz besteht nur nach "außen".

Ein solcher Man-in-the-Middle-Angriff wird nur entlarvt, wenn der Benutzer seine Aufmerksamkeit auf das X.509-Zertifikat richtet, das die Identität des Webservers bestätigen soll. Dabei muss der Anwender natürlich wissen, worauf es ankommt. Verfügt er nicht über das entsprechende Know-how, wird er Warnmeldungen des Webbrowsers vermutlich einfach übergehen. Zudem muss sich die Zertifizierungsstelle (CA), die das Zertifikat des Servers ausgestellt hat, im Speicher vertrauenswürdiger Stammzertifizierungsstellen des Webbrowsers befinden und ihr muss vertraut werden. Ansonsten erscheinen generell Fehlermeldungen, die man wohl irgendwann einfach nicht mehr prüft.

Auch SSL-geschützte https-Verbindungen sind angreifbar: Wenn der Endanwender solche Warnungen nicht überprüft, können sich eventuell Angreifer in den Verbindungsaufbau einschleusen und anschließend mitlesen.

Domino-Steine

Viele Unternehmen setzen Lotus Domino als Webserver ein. Auch zum Domino-Server sind im letzten Jahr zahllose Sicherheitslücken (Buffer Overruns, D.o.S. etc.) bekannt geworden [2], die der Administrator durch Sicherheitspatches beheben muss. Aber auch ohne solche Löcher bleibt die Default-Installation eines Domino-Servers angreibar – entsprechende Probleme sind schon seit Jahren bekannt: Domino-Datenbanken wie names.nsf, catalog.nsf oder log.nsf sind oft von jedermann lesbar. Die Live-Demo belegt eindrucksvoll, wie man durch die Eingabe einer einfachen URL an vertrauliche Notes-Datenbanken gelangen kann – zum Beispiel an das Mitarbeiteradressbuch der "Opera Australia". Worauf man bei der Einrichtung eines Domino Servers achten muss, verrät beispielsweise [3].

Viele Domino-Server sind in der Standardkonfiguration nicht "internet-geeignet" und erlauben nach der Eingabe bestimmter URLs neugierige Blicke auf interne Daten, wie hier die Website der Opera Australia.

WinD.o.S. 2000

Denial-of-Sevice-Attacken (D.o.S.) zielen auf die Verfügbarkeit eines Systems: Der Angreifer bringt das System zum Absturz oder sorgt dafür, dass sämtliche Ressourcen aufgezehrt werden. Im Internet existieren eine Vielzahl kleiner Progrämmchen, mit deren Hilfe man Applikationsserver oder sogar das darunterliegende Betriebssystem zum Absturz bringen kann. Manche Attacken basieren auf fragmentierten Paketen, andere rufen durch unerwartete Eingaben einen Buffer-Overrun [4] hervor, wieder andere legen mit geschickt formatierten E-Mails den Mail-Client des Benutzers lahm. Wer sich, wie ein Zuschauer auf der SYSTEMS, denkt "Ich habe alle Microsoft-Patches eingespielt – da bin ich doch sicher!?", den müssen wir leider enttäuschen. Die vorgeführten D.o.S.-Attacken zwingen auch gut gewartete Windows-2000-Server in die Knie. Diesen Beweis tritt SySS zum Abschluss seiner Präsentationen aber auch nur mit eigenen Windows-Rechnern an: Während Windows-98 einen Bluescreen zeigt, bleibt Windows-2000 übrigens bisweilen kommentarlos stehen.

Ausblick

Kein Tag vergeht, an dem nicht neue Sicherheitsschwächen bekannt oder neue Hackertechniken erfunden werden. Täglich knacken meist jugendliche Täter Dutzende von Webserver und manipulieren deren Inhalte – interessante Archive manipulierter Webseiten sind beispielsweise unter  www.alldas.de zu finden. Softwarehersteller befriedigen die nimmersatte Nachfrage von Kunden, indem sie neue Features – und damit oft auch neue Sicherheitslücken – in ihre Software einbauen. Und hat man sein Betriebssystem endlich so gut im Griff, dass man glaubt, sicher zu sein, dann wird es wohl in den nächsten Tagen obsolet und durch ein neues ersetzt.

Fazit: Hacking wird nie langweilig! Welche Tricks und Tools auf dem nächsten Kongress für staunende Fachleute sorgen, ist noch nicht sicher – fest steht: es wird sie geben. Und wenn Ihr Top-Management nicht glaubt, wie leicht es Angreifer haben, wenn man ihnen nicht in mühevoller Kleinarbeit oder mit aufwändiger Technik zuvorkommt, dann zeigen Sie's ihnen doch mal.

Dipl.-Inform. Sebastian Schreiber (schreiber@SySS.de) ist Geschäftsführer des Beratungsunternehmens System Security Schreiber (SySS).

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 6

Zurück zum Inhalt