Viren Elias Manser

Was sind Computerviren ? Computerviren sind von Menschen geschriebene Programme, die sich selbst reproduzieren, indem sie sich an andere Programme anhängen. Man unterscheidet zwischen Programmviren und Systemviren.

Unterschied zwischen Virus und Wurm basieren zum Teil auf vollkommen verschiedenen Konzepten und Techniken. Wie verbreitet sich der Virus?

Unterschied zwischen Virus und Wurm Würmer warten nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden. Sicherheitsprobleme z. B.: Netzwerk-Dienste Design- und Programmierfehler

Computervirentypen Bootviren Dateiviren Makroviren Würmer usw.

Bootviren ersten Viren überhaupt Boot-Sektor-Viren verstecken sich in der Regel den Boot-Sektor schaden der Festplatte selber

Dateiviren Sie infizieren ausführbare Programme und können bei deren Abarbeitung aktiviert werden. hängen sich an ausführbare Dateien an Programme werden so durch den Virus erweitert

Makroviren nicht als eigenständiges Programm vorliegen das in einem Dokument eingebettet ist. nistet sich selbst in andere Dokumente ein und hat eine schädliche Funktionen

Würmer via Computernetzwerke weiterleiten Systeminfektion meist durch das Öffnen infizierter E-Mails IRC-Software, Peer-to-Peer-Programme, Instant-Messaging-Programme sowie über Dateifreigaben.

Trojaner-Programme unterscheiden sich voneinander durch die Tätigkeiten Trojan-PSW Trojan-Clicker - Internet-Klicker

Trojaner-Programme

Weitere Viren und Würmer: Skriptviren Mischformen EICAR-Testdatei

Wer schreibt Schadprogramme und warum? Cyber-Vandalismus - Stufe 1 Kids, die das Programmieren gerade erst erlernt Cyber-Vandalismus - Stufe 2 waren Jugendliche, gewöhnlich Studenten

Die Anfänge Der Univax 1108 und der IBM 360/370 Mitte der 70er Jahre waren schon befallen. Die Idee von Computerviren kam allerdings schon in den 40er Jahren populären Arbeiten von John von Neumann

Hacking von Chris Dittinger und Kevin Wrann

Plattformen & Systeme für Angriffe Windows 98/Me/XP/Vista Linux, und andere “Low-Cost” Produkte von UNIX Windows UND Linux Systeme sind gemeinsam Ziele

Exploits – die Ausführung Brute force und Wörterbuch Attacken Software Fehler Falsche Eingaben Buffer Overflows Sniffing

Lokale and Remote Angriffe Lokal: Angriffe mit physikalischen Zugriff auf die Maschine Remote: Angriffe über das Netzwerk

Lokale Angriffe auf die Workstation? Hacker sammeln mehr Informationen über das Netzwerk und seine User Hacker können das Administrator Passwort übernehmen, was zur Übernahme eines Server führen kann Spyware kann installiert sein, um einfacher Informationen zu erlangen

Allgemein bekannte lokale Angriffe sind: Übernahme der admin/root Rechte der lokalen Maschine Knacken des lokalen Passworts Entfernen der Festplatte und in einen anderen Rechner einbauen Sogenannte „Exploiting“ Dateien oder Kommandos beim login oder Systemstart

ARP Spoofing Hacker benutzen Programme wie arpspoof um die Identität im Netzwerk zu ändern und somit Daten empfangen zu können, die eigentlich gar nicht für diesen bestimmt sind

IP Spoofing Fälschen der IP Adresse Umlenken von Systemanfragen Pakete erhalten, die eigentlich gefiltert werden sollten Verwirrt das Netzwerk, Switche und Router

DoS Angriffe Denial of Service Angriffe machen es Unmöglich für berechtige Benutzer auf Netzwerk Resourcen zuzugreifen Allgemeine Resourcen Festplattenplatz Prozessor oder Rechenzeit Benötigte Bandbreiten Smurf Attacken DDoS (Distibuted DoS)

Distributed Denial of Service Sogenannte “stille Agenten” (Zombies) auf einem Computer installiert durch einen Wurm oder Virus und helfen heimlich mit, ein entferntes Ziel anzugreifen Client Master Master Master Agent Agent Agent Agent Agent Target

SYN Flooding Zahllose SYN Packete werden übermittelt; solange bis die Verbindung aufgebaut wurde IP Spoofing verhindert im weiteren das Zurückverfolgen zur Quelle

Netzwerk Hacking: Ein 4-Schritte Vorgang Footprinting Scanning und Enumerating Researching Exploiting

Footprinting Alles über die Organisation, die Angegriffen wird, herausfinden was zu ihr gehört: Die entsprechenden Netzwerkresourcen finden (Netzwerkblöcke) Anpingen der Netzwerk Broadcast Adresse

Scanning und Enumerating Welche Dienste laufen? Welche Benutzerkonten bestehen? Wie wurde was aufgesetzt, bzw. installiert?

Scanning und Enumerating: Werkzeuge Port Scannen Nmap Sniffing ngrep SNMP Solarwinds Null session NBTenum Nbtdump

Scanning und Enumerating: Werkzeuge NetBIOS Browsing Netview Legion Sicherheitslücken Scanner Nessus Winfingerprint LANGuard

Hacker sendet Daten für einen Überlauf Buffer Overflow Hacker senden mehr Daten, als vom Puffer abgearbeitet werden kann, wodurch erreicht werden kann, dass jeder beliebige Code ausgeführt werden kann. Code Hacker sendet Daten für einen Überlauf Code Zugeteilter Speicher für das Programm Puffer ist überlastet; Das Kuckucksei wird ausgeführt

Hacker = Man in the middle

Sniffing im lokalem Netzwerk In Netzwerken ohne Switche wird jeder Netzwerkverkehr an jeden Rechner gesendet Computer mit Netzwerkkarten die im sogenannten „promiscuous” (gemischten) Modus laufen, können alle Daten, die über das Kabel laufen, mitlesen Protokolle wie FTP, HTTP, SMTP und POP3 sind unverschlüsselt, jedes Passwort kann im Klartext ausgelesen werden

Sniffing: Switched Netzwerke Switche senden Daten ausschließlich zum Zielrechner Switched Netzwerke sind wesentlich sicherer (direkt von Quelle zum Ziel) Switche erhöhen eindeutig die Geschwindigkeit im Netzwerk

Smurf Angriffe Ping Anfragen werden an eine Broadcast Adresse eines Subnetzes gesendet; gefälschte Packete täuschen vor das Ziel zu sein Alle Computer im Netzwerk antworten und senden Informationen an den Hacker PC zurück Bereits mit einer 56k Modem Leitung kann ein Server, der an einer T1 Leitung hängt, überfluten

Vielen Dank!