Viren Elias Manser
Was sind Computerviren ? Computerviren sind von Menschen geschriebene Programme, die sich selbst reproduzieren, indem sie sich an andere Programme anhängen. Man unterscheidet zwischen Programmviren und Systemviren.
Unterschied zwischen Virus und Wurm basieren zum Teil auf vollkommen verschiedenen Konzepten und Techniken. Wie verbreitet sich der Virus?
Unterschied zwischen Virus und Wurm Würmer warten nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden. Sicherheitsprobleme z. B.: Netzwerk-Dienste Design- und Programmierfehler
Computervirentypen Bootviren Dateiviren Makroviren Würmer usw.
Bootviren ersten Viren überhaupt Boot-Sektor-Viren verstecken sich in der Regel den Boot-Sektor schaden der Festplatte selber
Dateiviren Sie infizieren ausführbare Programme und können bei deren Abarbeitung aktiviert werden. hängen sich an ausführbare Dateien an Programme werden so durch den Virus erweitert
Makroviren nicht als eigenständiges Programm vorliegen das in einem Dokument eingebettet ist. nistet sich selbst in andere Dokumente ein und hat eine schädliche Funktionen
Würmer via Computernetzwerke weiterleiten Systeminfektion meist durch das Öffnen infizierter E-Mails IRC-Software, Peer-to-Peer-Programme, Instant-Messaging-Programme sowie über Dateifreigaben.
Trojaner-Programme unterscheiden sich voneinander durch die Tätigkeiten Trojan-PSW Trojan-Clicker - Internet-Klicker
Trojaner-Programme
Weitere Viren und Würmer: Skriptviren Mischformen EICAR-Testdatei
Wer schreibt Schadprogramme und warum? Cyber-Vandalismus - Stufe 1 Kids, die das Programmieren gerade erst erlernt Cyber-Vandalismus - Stufe 2 waren Jugendliche, gewöhnlich Studenten
Die Anfänge Der Univax 1108 und der IBM 360/370 Mitte der 70er Jahre waren schon befallen. Die Idee von Computerviren kam allerdings schon in den 40er Jahren populären Arbeiten von John von Neumann
Hacking von Chris Dittinger und Kevin Wrann
Plattformen & Systeme für Angriffe Windows 98/Me/XP/Vista Linux, und andere “Low-Cost” Produkte von UNIX Windows UND Linux Systeme sind gemeinsam Ziele
Exploits – die Ausführung Brute force und Wörterbuch Attacken Software Fehler Falsche Eingaben Buffer Overflows Sniffing
Lokale and Remote Angriffe Lokal: Angriffe mit physikalischen Zugriff auf die Maschine Remote: Angriffe über das Netzwerk
Lokale Angriffe auf die Workstation? Hacker sammeln mehr Informationen über das Netzwerk und seine User Hacker können das Administrator Passwort übernehmen, was zur Übernahme eines Server führen kann Spyware kann installiert sein, um einfacher Informationen zu erlangen
Allgemein bekannte lokale Angriffe sind: Übernahme der admin/root Rechte der lokalen Maschine Knacken des lokalen Passworts Entfernen der Festplatte und in einen anderen Rechner einbauen Sogenannte „Exploiting“ Dateien oder Kommandos beim login oder Systemstart
ARP Spoofing Hacker benutzen Programme wie arpspoof um die Identität im Netzwerk zu ändern und somit Daten empfangen zu können, die eigentlich gar nicht für diesen bestimmt sind
IP Spoofing Fälschen der IP Adresse Umlenken von Systemanfragen Pakete erhalten, die eigentlich gefiltert werden sollten Verwirrt das Netzwerk, Switche und Router
DoS Angriffe Denial of Service Angriffe machen es Unmöglich für berechtige Benutzer auf Netzwerk Resourcen zuzugreifen Allgemeine Resourcen Festplattenplatz Prozessor oder Rechenzeit Benötigte Bandbreiten Smurf Attacken DDoS (Distibuted DoS)
Distributed Denial of Service Sogenannte “stille Agenten” (Zombies) auf einem Computer installiert durch einen Wurm oder Virus und helfen heimlich mit, ein entferntes Ziel anzugreifen Client Master Master Master Agent Agent Agent Agent Agent Target
SYN Flooding Zahllose SYN Packete werden übermittelt; solange bis die Verbindung aufgebaut wurde IP Spoofing verhindert im weiteren das Zurückverfolgen zur Quelle
Netzwerk Hacking: Ein 4-Schritte Vorgang Footprinting Scanning und Enumerating Researching Exploiting
Footprinting Alles über die Organisation, die Angegriffen wird, herausfinden was zu ihr gehört: Die entsprechenden Netzwerkresourcen finden (Netzwerkblöcke) Anpingen der Netzwerk Broadcast Adresse
Scanning und Enumerating Welche Dienste laufen? Welche Benutzerkonten bestehen? Wie wurde was aufgesetzt, bzw. installiert?
Scanning und Enumerating: Werkzeuge Port Scannen Nmap Sniffing ngrep SNMP Solarwinds Null session NBTenum Nbtdump
Scanning und Enumerating: Werkzeuge NetBIOS Browsing Netview Legion Sicherheitslücken Scanner Nessus Winfingerprint LANGuard
Hacker sendet Daten für einen Überlauf Buffer Overflow Hacker senden mehr Daten, als vom Puffer abgearbeitet werden kann, wodurch erreicht werden kann, dass jeder beliebige Code ausgeführt werden kann. Code Hacker sendet Daten für einen Überlauf Code Zugeteilter Speicher für das Programm Puffer ist überlastet; Das Kuckucksei wird ausgeführt
Hacker = Man in the middle
Sniffing im lokalem Netzwerk In Netzwerken ohne Switche wird jeder Netzwerkverkehr an jeden Rechner gesendet Computer mit Netzwerkkarten die im sogenannten „promiscuous” (gemischten) Modus laufen, können alle Daten, die über das Kabel laufen, mitlesen Protokolle wie FTP, HTTP, SMTP und POP3 sind unverschlüsselt, jedes Passwort kann im Klartext ausgelesen werden
Sniffing: Switched Netzwerke Switche senden Daten ausschließlich zum Zielrechner Switched Netzwerke sind wesentlich sicherer (direkt von Quelle zum Ziel) Switche erhöhen eindeutig die Geschwindigkeit im Netzwerk
Smurf Angriffe Ping Anfragen werden an eine Broadcast Adresse eines Subnetzes gesendet; gefälschte Packete täuschen vor das Ziel zu sein Alle Computer im Netzwerk antworten und senden Informationen an den Hacker PC zurück Bereits mit einer 56k Modem Leitung kann ein Server, der an einer T1 Leitung hängt, überfluten
Vielen Dank!