SPOOFING Früher stand Spoofing ausschließlich für den Versuch des Angreifers, IP-Pakete so zu fälschen, dass sie die Absenderadresse eines anderen (manchmal vertrauenswürdigen) Hosts trugen. Später wurde diese Methode jedoch auch auf andere Datenpakete angewendet. Heutzutage umfasst Spoofing alle Methoden, mit denen sich Authentifizierungs- und Identifikationsverfahren untergraben lassen, welche auf der Verwendung vertrauenswürdiger Adressen oder Hostnamen in Netzwerkprotokollen beruhen. Spoofing (englisch für Manipulation, Verschleierung oder Vortäuschung) nennt man in der Informationstechnik verschiedene Täuschungsversuche in Computernetzwerken zur Verschleierung der eigenen Identität. Personen werden in diesem Zusammenhang auch gelegentlich als „Spoofer” bezeichnet.

Übersicht IP Spoofing URL Spoofing Mail Spoofing ARP Spoofing GPS Spoofing Call Spoofing

IP-Spoofing Funktionsweise: IP-Spoofing bezeichnet in Computernetzen das Versenden von IP-Paketen mit gefälschter Absender-IP-Adresse. Die Kopfdaten jedes IP-Pakets enthalten dessen Quelladresse. Dies sollte die Adresse sein, von der das Paket gesendet wurde. Indem der Angreifer die Kopfdaten so fälscht, dass sie eine andere Adresse enthalten, kann er das Paket so aussehen lassen, als ob das Paket von einem anderen Computer gesendet wurde. Dies kann von Eindringlingen dazu genutzt werden, Sicherheitsmaßnahmen wie z. B. IP-adressbasierte Authentifizierung im Netzwerk auszutricksen.

Erkennungsmöglichkeit: Übertragung / Quelle: Über das Ethernet (LAN,WAN,WLAN usw.) Erkennungsmöglichkeit: Kann kaum erkannt werden Spezielle Tools erforderlich Beseitigung: Black-Listen, Firewall mit speziellen Filtern White-Listen, Erlaubte Websites Beispiele / Hintergrund Beim reinen IP-Spoofing fälscht der Angreifer die Quelladresse eines Pakets Beim reinen IP-Spoofing fälscht der Angreifer die Quelladresse eines Pakets: Das bedeutet natürlich, dass er keine Antworten erhält! Diese Antworten werden nämlich an den Rechner mit der IP-Adresse gesendet, die der Angreifer in seinen Paketen verwendet hat. Mit einer gespooften IP-Adresse lässt sich also keine normale Internet-Verbindung aufbauen. Was mit dem vielfach geäußerten Gerücht aufräumt, es wäre möglich, mit Hilfe von IP-Spoofing anonym im Internet zu arbeiten. "Aufhalten" kann man sich vielleicht anonym - aber echtes Arbeiten dürfte sich ohne ein einziges Antwortpaket der anderen Hosts doch ein wenig schwierig gestalten.

URL-Spoofing Funktionsweise: ist eine im World Wide Web angewendete (Spoofing-)Methode, um dem Besucher einer Website in betrügerischer Absicht eine falsche Identität vorzuspiegeln bzw. die tatsächliche Adresse der Seite zu verschleiern

Übertragung / Quelle: • WAN, LAN, WLAN usw. • Internet Erkennungsmöglichkeit: • Kann vorher kaum erkannt werden • Auf Änderungen achten • Format-, Rechtschreib- oder Grammatikfehler • Ladezeiten evtl. länger Beseitigung: • Aufwendig nur durch Provider Beispiele / Hintergrund: Der Anwender wird auf eine gehackte Seite geleitet, die sehr große Ähnlichkeit mit der Originalseite hat, um Daten zu erbeuten wie Kennwort, Benutzername, PIN oder TAN usw.

Mail-Spoofing Funktionsweise: Mail-Spoofing nennt man verschiedene Täuschungsversuche (Spoofing) bei E-Mails zum Vortäuschen anderer Identitäten. Auf einfachem Weg kann der Absender für sich selbst eine E-Mail-Adresse angeben, die entweder nicht ihm gehört oder nicht existiert. Für den Empfänger sieht es auf den ersten Blick so aus, als sei dies die richtige Absenderadresse.

Übertragung / Quelle: Alle E-Mail-Programme LAN, WAN, WLAN usw. Erkennungsmöglichkeit: Kann kaum erkannt werden User kann u.U. Ungereimtheiten in der Form der Mail erkennen Technisch nach Schlüsselwörtern Beseitigung: Löschen der E-Mail Spam-Filter, Keyword-Filter Beispiele / Hintergrund: Der Anwender wird mittels Link auf eine Fake-Site gelockt. Der Anwender wird zu einer Antwort mit entsprechender Information genötigt.

ARP-Spoofing Funktionsweise: ARP-Spoofing oder auch ARP Request Poisoning (zu dt. etwa Anfrageverfälschung) bezeichnet das Senden von gefälschten ARP-Paketen. Es wird benutzt, um die ARP-Tabellen in einem Netzwerk so zu verändern, dass anschließend der Datenverkehr zwischen zwei (oder mehr) Systemen in einem Computernetz abgehört oder manipuliert werden kann. Es ist eine Möglichkeit, einen Man-In-The-Middle-Angriff im lokalen Netz durchzuführen.

Erkennungsmöglichkeit: Kann kaum erkannt werden Übertragung / Quelle: LAN, WLAN   Erkennungsmöglichkeit: Kann kaum erkannt werden Spezielle Tools erforderlich Beseitigung: Abschalten des Routers/Switch Beispiele / Hintergrund Sinn eines solchen Angriffs? Zum Beispiel köönte man in einem Firmeninternen Intranet eine Login-Seite kopiert und mittels eines eigenen Webservers spoofen. Man könnte dann ein Perlscript schreiben welches alle Eingaben lokal speichert und eine Fehlerseite als Antwort ausgibt. Sinn eines solchen Angriffs Zum Beispiel in einem Firmeninternen Intranet könnte eine Login-Seite kopiert und mittels eines eigenen Webservers gespooft werden. Man könnte ein Perlscript schreiben welches alle Eingaben dann lokal speichert und eine Fehlerseite als Antwort ausgibt. Wenn dem Benutzer eine akzeptable Kopie des Services geboten wird könnte sich ein Angreifer Zutritt darauf verschaffen ohne das Mitarbeiter es mitbekommen würden. Durch ARP-Spoofing kann sich ein Angreifer sicher sein das wirklich jedes Paket an ihm vorbei kommt. Das ist in einem normalen LAN sowieso der Fall wenn ein Sniffer im Promiscous-Mode läuft, aber es eignet sich zum Beispiel für geswitchte LANs hervorragend. Bei diesen hätte ein Angreifer ansonsten keine Möglichkeit den Traffic seines Opfers zu überwachen und ggf. Passwörter mitzulesen oder sonstige Aktivitäten zu verfolgen. Grund dafür ist das Switches die Daten einschränken welche an die Clients gesendet werden. Es sollte aber IP-Forwarding aktiviert sein da es ansonsten zu Problemen kommt im Netzwerk kommt.

Auf Wiedersehen !?!