Viren, Trojanische Pferde & Denial of Service Attacken Matthias Neeland Holger Kaßner Björn Mahn

Viren – Übersicht Definition: Virus Arten Klassifikation Funktionsweise Infektion und Verbreitung Aufstöbern und entfernen Fazit Thema: Viren Matthias Neeland

Definition: Virus 1972 Begriff Virus 1980 Diplomarbeit Science Fiction Geschichte 1980 Diplomarbeit „Selbstreproduktion bei Programmen“ 1983 Doktorarbeit Begriff Virus etabliert Thema: Viren Matthias Neeland

Definition: Virus Schlagworte: Programm das repliziert Programm Replikat Trigger  Auslöser Payload  Wirkteil Programm das repliziert Thema: Viren Matthias Neeland

Virenarten Der Standard-Virus Nutzprogramm Replikator (Auslöser) Wirkteil Thema: Viren Matthias Neeland

Virenarten Minen (Bomb) (Auslöser) Wirkteil Keine Replikation! Thema: Viren Matthias Neeland

Virenarten Pilz (Myko) Pilz = Mine + Replikator Replikator (Autostarter) (Auslöser) Wirkteil (Auslöser) Wirkteil (Auslöser) Wirkteil Thema: Viren Matthias Neeland

Virenarten Wurm Makro-/Dokumentenvirus Systemviren ... Boot-Viren  Boot-Sektor-Viren ... Thema: Viren Matthias Neeland

Verteilung 2001 Thema: Viren Matthias Neeland

Klassifikation Hoax  (engl.) (Zeitungs-)Ente harmlos  gefährlich Thema: Viren Matthias Neeland

Funktionsweise Auslöser (Trigger) Wirkteil (Payload) Kopierteil (Replikator) Autostarter Thema: Viren Matthias Neeland

Funktionsweise Beispiel Cascade 1701 Ver-/Ent-schlüsseln Sprung-befehl Virus Programmdatei Thema: Viren Matthias Neeland

Infektionsmechanismen Diskette Raubkopien Dubiose Software Mailboxen Netzwerke Shareware, Public Domain Thema: Viren Matthias Neeland

Ausbreitungsmechanismen Replikation  Vervielfältigung 1-zu-1  Polymorphie Anhängen an Dateien Mail Thema: Viren Matthias Neeland

Aufstöbern & Entfernen Virenscanner bekannte Viren Signatur Checker Gültigkeitsprüfung Virus bleibt unbekannt Blocker Alarmfunktion Thema: Viren Matthias Neeland

Fazit Was können Viren? Was nicht? Vorsorge – Besser ist das! Thema: Viren Matthias Neeland

Trojanische Pferde Thema: Trojanische Pferde Björn Mahn

Trojaner – Übersicht Was ist ein Trojaner? Typen bzw. Klassifikationen Backdoors  Demonstration (Sub7) Infektionsmechanismen Aufstöbern und Entfernen Rechtslage Thema: Trojanische Pferde Björn Mahn

Was ist ein Trojaner? Benutzer Programm Thema: Trojanische Pferde “.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.” Zwei Teile: Trägerprogramm und (unbewußt ausgeführter) Hintergrundteil Programm Thema: Trojanische Pferde Björn Mahn

Was ist ein Trojaner? Unterschied zu Viren Ist selbständig Keine Replikation Trägerprogramm  Replikation Trägerprogramm ist nur „Tarnung“ “.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.” Thema: Trojanische Pferde Björn Mahn

Nicht verwechseln! Backdoor  spezieller Trojaner Logische Bombe  kein Trojaner  Trägerprogramm normale SW  Auslösungszeitpunkt/ -ereignis Easter Egg  harmlose Form einer log. Bombe Thema: Trojanische Pferde Björn Mahn

Typen bzw. Klassifikationen Normal Dropper Spione Autostart Backdoors Kombinationen Thema: Trojanische Pferde Björn Mahn

Typen bzw. Klassifikationen Normal Dropper Spione Backdoors Kombinationen Thema: Trojanische Pferde Björn Mahn

Backdoors Zugangsdaten Backdoor Server Backdoor Client Internet API u. Daten (Anf.) Daten ahnungsloser Benutzer Hacker Thema: Trojanische Pferde Björn Mahn

Demonstration Thema: Trojanische Pferde Björn Mahn

Demonstration Sub7 Server Sub7 Client LAN ahnungsloser Benutzer Hacker Thema: Trojanische Pferde Björn Mahn

Infektionsmechanismen Keine eigenständige Ausbreitung Trägerprogramm: Mail, IRC etc. Toolkits  Demonstration Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen “.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.” Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen Allgemein Siehe Definition  unmöglich Dropper Virenscanner/ -monitor Spione und Backdoors Firewall Systemübersicht/ -pflege Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen Systemübersicht/ -pflege Auffällige Veränderungen im FS Screenshots, „key.log“ Autostart (Spione und Backdoors) Windows-Registrierung, etc. System.ini: shell=Explorer.exe „Netstat –an“ Thema: Trojanische Pferde Björn Mahn

Rechtslage § 202a StGB Ausspähen von Daten Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Thema: Trojanische Pferde Björn Mahn

Rechtslage § 202a StGB Datenveränderung Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar. Thema: Trojanische Pferde Björn Mahn

Denial of Service Attacken Thema: Denial of Service Holger Kaßner

DoS – Übersicht Was ist DoS? Welchen Zweck hat DoS? Welche Arten gibt es? DDoS Gegenmaßnahmen Fazit Thema: Denial of Service Holger Kaßner

Was ist DoS? Denial of Service (Dienstblockade) Ist die gewollte Überlastung eines Dienstes bzw. Servers, welche durch Dritte verursacht wird Thema: Denial of Service Holger Kaßner

Welchen Zweck hat DoS? Server zu überlasten Server komplett lahm legen  Server ist nicht mehr verfügbar  es entsteht z.B. wirtschaftlicher Schaden, wenn dies mit Servern großer Firmen geschieht. Thema: Denial of Service Holger Kaßner

Welche Arten gibt es? UDP Packet Storm TCP SYN Flooding PING Flooding Thema: Denial of Service Holger Kaßner

UDP Packet Storm Große Anzahl (korrekter) Pakete wird an das Zielsystem geschickt, welches dann unter Last ausfallen kann. Thema: Denial of Service Holger Kaßner

TCP SYN Flooding Aufbau (gefälschter) Verbindungen, die sofort wieder abgebrochen werden Thema: Denial of Service Holger Kaßner

PING Flooding System wird mit (gefälschten) ICMP-Echo-Reply-Paketen belastet Bei gefälschter Größe kann bei manchen Systemen zu weiteren Störungen führen Mit gefälschter Absenderadresse kann dieses oder ein anderes System zusätzlich belastet werden Thema: Denial of Service Holger Kaßner

PING Flooding Thema: Denial of Service Holger Kaßner

DDoS Distributed Denial of Service Koordinierte DoS-Attacken Effektiver als DoS Opfer: Yahoo, eBay Thema: Denial of Service Holger Kaßner

Funktionsweise Thema: Denial of Service Holger Kaßner

Weiterentwicklung Verschleierung der Kommunikation: Variable Portnummern bei TCP und UDP Verschlüsselung „Wartbarkeit“ durch Updates von Handlern und Agenten Thema: Denial of Service Holger Kaßner

Gegenmaßnahmen Keine, nur Möglichkeiten nicht zum Handler oder Agenten zu werden: Konservative Systemkonfiguration Zeitnahes Einspielen von Sicherheitspatches Dienste auf notwendigen Netzbereich beschränken Verwendung von Verschlüsselung für Authentifikation und Kommunikation Thema: Denial of Service Holger Kaßner

Fazit cert.dfn.de: „Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von offenen Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich.“ (cert = Computer Emergence Response Team) Thema: Denial of Service Holger Kaßner

Abschluß http://schaedlinge.ptol.de Thema: Denial of Service Holger Kaßner