In diesem Kapitel lernen Sie destruktive Programme kennen. Das sind Programme, die kaum gesellschaftlichen oder akademischen Wert haben, den modernen Systemadministrator aber dennoch plagen.
Destruktive Programme sind Programme, die eines oder beide der folgenden Ziele haben:
Destruktive Programme werden in der Regel von unreifen Benutzern, verärgerten Angestellten oder Jugendlichen eingesetzt, sei es aus purer Bosheit oder aus dem Spaß daran, andere zu belästigen.
Die meisten destruktiven Programme stellen kein Sicherheitsrisiko dar, sondern sind in erster Linie Ärgernisse. Allerdings können diese Programme manchmal die Funktionsfähigkeit Ihres Netzwerks bedrohen. Ein Programm beispielsweise, das einen Router oder einen Mail-Server unter eine anhaltende Denial-of-Service-Attacke bringt, könnte ein Sicherheitsrisiko darstellen. Auf alle Fälle können legitime Netzwerkbenutzer während der Dauer eines derartigen Angriffs nicht auf wichtige Netzwerk-Ressourcen zugreifen. Zwar wird das System an sich durch den Angriff nicht gefährdet, aber er führt zu einer Unterbrechung der System-Arbeitsabläufe. Daher sollte jeder neue Systemadministrator generell über Denial- of-Service und destruktive Programme Bescheid wissen.
Dieses Kapitel behandelt vor allem drei der wichtigsten destruktiven Programme:
E-Mail-Bomben führen selten zu Datenverlust oder Sicherheitslöchern, sondern sind Tools, die der Belästigung anderer dienen.
Eine herkömmliche E-Mail-Bombe ist einfach eine Serie von Nachrichten (vielleicht Tausende), die an Ihre Mailbox gesandt werden. Der Angreifer will Ihre Mailbox mit Müll überladen. Die meisten Internet-Benutzer erhalten eine E-Mail-Bombe innerhalb eines Jahres, nachdem sie online gegangen sind. Der Angreifer ist gewöhnlich jemand, der mit irgendeiner Ihrer Aussagen in einem Usenet-Diskussionsforum nicht einverstanden war. Normalerweise ist eine E-Mail-Bombe etwa 2 Mbyte groß. Wenn Sie eine Anwählverbindung zum Internet haben, führt dies zu erhöhten Verbindungsgebühren und ist schlicht Zeitverschwendung.
E-Mail-Bomben-Pakete sind Programme, die den Prozeß des E-Mail-Bombings automatisieren. Systemadministratoren sollten diese Pakete und die Dateinamen, die mit ihnen verknüpft sind, kennen. (Zwar mag diese Kenntnis einen Angriff auf Ihr System nicht verhindern, aber sie verhindert, daß Ihre Benutzer andere Systeme angreifen.)
Tabelle 9.1 listet die beliebtesten E-Mail-Bomben-Pakete und die dazugehörenden Dateinamen auf. Wenn Sie ein Multi-User-Netzwerk betreiben, sollten Sie Ihre Laufwerke nach diesen Dateinamen durchsuchen.
Kill Files (Liste, die Nachrichten von unerwünschten Absendern ausfiltert und löscht), Exklusionsschemen und Mail-Filter sind alles Abhilfen für E-Mail-Bomben. Mit Hilfe dieser Tools können Sie automatisch Mail ablehnen, die von der Absenderadresse mit diesen Tools losgeschickt wurde.
Es gibt verschiedene Wege, ein solches Exklusionsschema zu implementieren. Unix- Anwender finden online eine große Vielfalt an Quellen. Weiterhin kann ich ein Buch empfehlen, das sich mit der Entwicklung intelligenter Kill-File-Mechanismen auseinandersetzt: Sams Teach Yourself the Unix Shell in 14 Days von David Ennis und James Armstrong jr. (Sams Publishing). Kapitel 12 dieses Buches beinhaltet ein hervorragendes Script für diesen Zweck. Wenn Sie ein neuer Anwender sind, wird Ihnen dieses Kapitel (tatsächlich auch das ganze Buch) sehr nützlich sein.
Wenn Sie statt dessen mit Windows oder MacOS arbeiten, kann ich Ihnen jede der in Tabelle 9.2 aufgelisteten Mail-Filter-Applikationen empfehlen. Viele von ihnen sind Shareware, Sie können sie also testen, bevor Sie sie kaufen.
Wenn jemand anfängt, Sie zu bombardieren, können Sie immer auch einen menschlichen Ansatz versuchen und seinen Postmaster kontaktieren. Dies ist im allgemeinen recht wirksam; der Benutzer wird ermahnt, daß sein Verhalten unnötig ist und nicht toleriert wird. In den meisten Fällen reicht dies zur Abschrekkung. Manche Provider sind sogar so hart und schließen auf der Stelle den Account.
Eine andere Lösung ist ein bißchen gewiefter, funktioniert aber gut und kann automatisiert werden. So geht's: Schreiben Sie ein Script, das die E-Mail-Adresse des Angreifers auffängt. Für jede erhaltene Nachricht antworten Sie automatisch mit einem höflichen 10seitigen Hinweis, daß derartige Attacken der Netiquette widersprechen und daß sie unter gewissen Umständen sogar gegen das Gesetz verstoßen. Nachdem der Angreifer etwa 1.000 derartige Antworten erhalten hat, wird sein Provider an die Decke gehen, den Angreifer zu sich zitieren und ihm die Finger abhacken.
Dieser Ansatz ist für Endanwender nicht empfehlenswert - Ihr eigener Provider
könnte Ihnen Ärger machen. Wenn Sie jedoch Ihr eigener Herr sind,
tun Sie es einfach!
Schließlich sollten Sie noch eines wissen: Nicht alle Internet Service Provider handeln verantwortlich. Einigen ist es egal, ob ihre Benutzer E-Mail-Bomben an andere versenden. Die einfachste Reaktion darauf ist, jeglichen Verkehr von der entsprechenden Domain abzuweisen.
In seltenen Fällen können E-Mail-Bomben in Denial-of-Service resultieren. Zum Beispiel bombardierte jemand die Monmouth University in New Jersey in einer dermaßen aggressiven Art und Weise, daß der Mail-Server vorübergehend ausfiel. Dieser Vorfall zog eine FBI- Untersuchung nach sich, und der junge Mann wurde verhaftet.
Wenn ein Angriff auf Ihren Rechner derartige Auswirkungen hat, sollten Sie die Behörden kontaktieren. Dies gilt im besonderen, wenn der Angreifer seinen Ursprung variiert und damit Mail-Filter oder Exklusionsschemen am Router-Level umgeht. Wenn sich dieser Angriff beharrlich wiederholt, besteht Ihre einzige Abhilfe wahrscheinlich darin, die Polizei zu kontaktieren.
List-Linking ist eine neuere und hinterhältigere Form der Belästigung. List-Linking bedeutet, daß der Angreifer Sie bei Dutzenden von Mailing-Listen als Abonnent registriert.
E-Mail-Bomben-Pakete automatisieren den List-Linking-Prozeß. Zum Beispiel sind Kaboom und Avalanche zwei bekannte E-Mail-Bomben-Pakete, die »Point & Click«-List- Linking bieten. Die Auswirkungen einer solchen Verbindung können katastrophal sein. Die meisten Mailing-Listen produzieren mindestens 50 Mail-Nachrichten täglich, von denen manche binäre Attachments enthalten. Wenn der Angreifer Sie bei 100 Mailing-Listen anmeldet, werden Sie 5.000 E-Mails pro Tag erhalten. Außerdem müssen Sie sich bei jeder Mailing-Liste einzeln manuell wieder abmelden, wenn Sie erst einmal dort registriert sind. Überdies wählen Angreifer oft Zeiten, zu denen Sie nicht anwesend sind, wie beispielsweise Urlaubszeiten. Daher sammeln sich während Ihrer Abwesenheit Tausende von Nachrichten in Ihrer Mailbox. Dies kann zu Denial-of-Service führen, insbesondere wenn Ihr Systemadministrator Quotas auf Mail vergibt.
Der öffentlich meistbekannt gewordene Fall von List-Linking war der eines Senior-Editors vom Time Magazine. Am 18. März 1996 veröffentlichte Time einen Artikel mit dem Titel »I'VE BEEN SPAMMED!«. Der Artikel berichtete über einen List-Linking-Vorfall, der den amerikanischen Präsidenten, zwei bekannte Hacker-Magazine und einen Senior-Editor von Time betraf. Der Editor wurde bei etwa 1.800 Mailing-Listen registriert. Die daraus folgende Mail belief sich auf etwa 16 Mbyte. Interessanterweise wurde auch der Sprecher des Repräsentantenhauses, Newt Gingrich, bei diesen Mailing-Listen angemeldet. Gingrich hatte, wie die meisten Kongreßmitglieder, ein Script für seine Mail-Adresse laufen, das automatisch Antworten generiert. Diese Scripts filtern die E-Mail-Adresse aus jeder eingehenden Nachricht heraus und versenden automatisierte Antworten. Gingrichs automatisches Antwortscript empfing und beantwortete jede einzelne Nachricht. Dies erhöhte nur die Anzahl der Nachrichten, die er erhalten würde, da immer, wenn er auf eine Nachricht der Mailing-Liste antwortete, seine Antwort an die ausgehenden Nachrichten der Mailing-Liste gehängt wurde. Damit bombadierte sich der Sprecher des Repräsentantenhauses praktisch selbst.
List-Linking ist besonders hinterhältig, da ein einfacher Mail-Filter das Problem nicht wirklich löst, sondern nur unter den Teppich kehrt, weil Sie solange Mail erhalten werden, bis Sie sich wieder abgemeldet haben. Tatsächlich werden die Nachrichten in der Regel mindestens für 6 Monate kommen. Einige Mailing-Listen verlangen, daß man sein Abonnement alle 6 Monate erneuert. Dies geschieht in der Regel über eine Bestätigungsnachricht an den Listen- Server. In einer solchen Nachricht bitten Sie um Verlängerung der Mitgliedschaft um weitere 6 Monate. Natürlich werden Sie irgendwann aus der Liste gestrichen, wenn Sie keine derartige Bestätigung losschicken. In diesem Fall jedoch haben Sie vor Ablauf der 6 Monate keine Möglichkeit, von der Liste zu kommen. Daher sollten Sie sich mit List-Linking sofort befassen, auch wenn es noch so ärgerlich ist.
Einzige Abhilfe für List-Linking ist, sich bei allen Mailing-Listen wieder abzumelden. Dies ist aus mehreren Gründen schwieriger als es sich anhört. Ein Grund ist, daß neue Listen nur selten Informationen zur Abmeldung in ihren Mails liefern. Sie müssen also möglicherweise diese Informationen erst einmal im Web suchen. Wenn das so ist, rechnen Sie mit mehreren Stunden Ausfallzeit.
Ihre Möglichkeiten, sich schnell und effektiv von allen Listen wieder abzumelden, hängt zu einem großen Teil auch von Ihrem E-Mail-Programm ab. Wenn Ihr E-Mail-Client über mächtige Suchfunktionen verfügt, die es Ihnen ermöglichen, Betreffzeilen und Absenderangaben zu filtern, können Sie die Adressen der Mailing-Listen relativ schnell sammeln. Wenn Sie jedoch einen Mail-Client ohne Suchfunktionen benutzen, stehen Sie vor einem mühsamen Unterfangen. Wenn Sie gerade einen List-Linking-Angriff erlitten haben und einen Mail-Client ohne Suchfunktion haben, sollten Sie sich eine neue E-Mail-Adresse besorgen und die alte löschen. Im Endeffekt wird dies Ihr Problem schneller lösen.
Schließlich gibt es noch einen Punkt in bezug auf E-Mails, der viele Systemadministratoren ärgert: E-Mail-Relaying. E-Mail-Relaying heißt, daß Clients, die mit anderen Providern verbunden sind, Ihren Server für E-Mail benutzen. Dies ermöglicht Benutzern mit dynamischer IP-Adresse die Benutzung Ihres Mail-Dienstes (statt nur der Adressen Ihres Subnetzes oder Netzwerks). Daher können Spammer und andere Spinner Ihr Mail-System kidnappen und es dazu benutzen, das Internet mit Junk-Mail zu überladen.
Wenn Sie E-Mail-Relaying anbieten, könnten Sie mit diesem Problem konfrontiert werden. Die einzige Lösung ist, IP-Adressen zu filtern und solche von unerwünschten Netzwerken auszuschließen. Dies ist natürlich ein großes Problem, wenn Ihre Kunden beispielsweise AOL benutzen, da Sie dann im Endeffekt 9 Millionen Leute ausschließen müßten.
Die meisten Internet Service Provider weigern sich heutzutage aus genau diesem Grund, Relay-Dienste auzubieten. (Sie denken vielleicht, daß sich dieses Problem einfach über ein Programm lösen ließe, aber das ist nicht wahr. Sie können dies verifizieren, indem Sie sich die Kopfzeilen eingegangener Nachrichten ansehen. Unautorisierte Anfragen sehen genau wie autorisierte aus und daher ist das Schreiben eines Wrappers praktisch unmöglich.) Ich denke, man sollte Relays ausschalten und statt dessen Anwähldienste einrichten. (Es sei denn, Ihre Clients sind sehr weit von Ihrem Server entfernt. Unter diesen Umständen sind Ferngesprächgebühren fällig und daher ist eine Anwählverbindung nicht realistisch.)
Denial-of-Service(DoS)-Attacken sind ganz ähnlich wie E-Mail-Bomben in erster Linie Ärgernisse. DoS-Attacken sind jedoch wesentlich bedrohlicher, besonders wenn Sie ein Unternehmensnetzwerk betreiben oder Internet Service Provider sind. Das kommt daher, daß DoS-Attacken vorübergehend Ihr gesamtes Netzwerk lahmlegen können (oder zumindest die Hosts, die auf TCP/IP aufgebaut sind).
Die erste bedeutende Denial-of-Service-Attacke war der Morris-Wurm. Schätzungen zufolge waren etwa 5.000 Rechner für einige Stunden betriebsunfähig. Zu jener Zeit (1988) war es eine Katastrophe für akademische- und Forschungseinrichtungen, hatte aber nur wenig Auswirkung auf den Rest der Welt. Heutzutage könnte eine vergleichbare DoS- Attacke Verluste in Millionenhöhe nach sich ziehen.
Das Ziel einer DoS-Attacke ist einfach und direkt - Ihre(n) Host(s) vom Netz abzutrennen. Denial-of-Service-Attacken sind immer böswillig, außer wenn Sicherheitsexperten DoS- Attacken gegen ihre eigenen Netzwerke (oder andere vorher bestimmte Hosts) ausführen. Es gibt für niemanden einen legitimen Grund, Ihr Netzwerk zu beeinträchtigen. DoS-Attacken sind nach einer ganzen Reihe von Bundes- und Landesgesetzen strafbar. Wenn Sie einen Täter finden, der Ihr Netzwerk angreift, sollten Sie die Behörden benachrichtigen. DoS-Attakken sind nicht das Resultat der Arbeit neugieriger Hacker, sondern kriminelle Taten mit feindlicher Absicht.
DoS-Angriffe schlagen am Herzen von IP-Implementierungen zu. Daher können sie auf jeder Plattform stattfinden. Noch schlimmer, da IP-Implementierungen sich von Plattform zu Plattform nicht drastisch unterscheiden, kann eine einzelne DoS-Attacke mehrere Zielbetriebssysteme treffen. (Das Beispiel, das sich hier aufdrängt, ist die LAND-Attacke, die fast zwei Dutzend verschiedene Betriebssysteme beeinträchtigen konnte, darunter Windows NT und einige Unix-Versionen.)
Überdies zeigt die Analyse von DoS-Codes durchgehend, daß selbst wenn eine neue DoS- Attacke zunächst nicht auf allen Plattformen funktioniert, sie dies irgendwann tun wird. Neu entwickelte DoS-Attacken werden etwa alle zwei Wochen herausgegeben. Diese Versionen werden in der Regel auf einer einzelnen Entwicklungsplattform (z.B. Linux) geschrieben, um eine einzelne Zielplattform (z.B. Windows 95) anzugreifen. Nach der Veröffentlichung des entsprechenden Codes wird er von der Hacker- und Crackergemeinde untersucht. Innerhalb von Tagen bringt dann jemand eine geänderte Version (eine sogenannte Mutation) heraus, die eine größere Auswahl an Betriebssystemen beeinträchtigen kann.
Sie sollten DoS-Attacken sehr ernst nehmen. Sie sind gemein und einfach zu implementieren, sogar von Crackern mit wenig Programmiererfahrung. Tools für Denial-of-Service- Attacken sind daher weitverbreitete Waffen, jeder kann sie bekommen und jeder kann sie benutzen.
Noch beunruhigender ist es, daß Polizeibehörden in der Verfolgung von Denial-of-Service- Attacken oft zögern - auch wenn der Täter bekannt ist. Viele Polizeibehörden haben noch nicht begriffen, daß Denial-of-Service eine kritische Sache ist. Werfen wir einen kurzen Blick auf Denial-of-Service-Tools, den Schaden, den sie anrichten können und die Plattformen, die sie beeinträchtigen.
Nachstehend finden Sie eine umfassende Übersicht über DoS-Attacken, von denen jede vollständig mit Hilfe folgender Felder beschrieben wird:
Dateiname. Der angegebene Dateiname ist der, unter dem die Attacke am bekanntesten ist. Sie sollten jedoch beachten, daß in dem Maße, in dem Exploit-Codes verteilt werden auch die Dateinamen geändert werden. Es gibt verschiedene Gründe hierfür, aber der wichtigste ist, daß der Exploit-Code vor Systemadministratoren verborgen bleiben soll. Da Systemadministratoren in der Regel die Dateinamen dieser Tools kennen, werden sie von Crackern häufig umbenannt.
Autor. Hier sehen Sie oft Aliase oder E-Mail-Adressen statt richtiger Namen. Ich habe mich sehr darum bemüht, die Namen, E-Mail-Adressen oder Aliase der Original-Autoren zu finden. Wenn Sie eins der nachfolgenden Programme geschrieben haben und es irrtümlicherweise einer anderen Person zugesprochen wurde, kontaktieren Sie bitte den Verlag und lassen Sie es ihn wissen.
URL. Hier finden Sie die Internet-Adresse für den Exploit-Source-Code. Von dieser URL können Sie den Code herunterladen und auf ihrem eigenen Rechner testen.
Hintergrundinformationen. Hier finden Sie URLs, über die Sie weitere Dokumentationen finden können. In der Regel sind das Artikel oder Postings in Mailing-Listen, die die Hauptcharakteristiken der Attacke ausführlich beschreiben.
Entwicklungsbetriebssystem. Dieses Feld beschreibt entweder, auf welcher Plattform der Code geschrieben wurde oder in welchem Betriebssystem der Code erfolgreich laufen kann.
Zielbetriebssystem. Dieses Feld gibt an, welche Plattform mit dem Code erfolgreich angegriffen werden kann.
Auswirkung. Hier finden Sie eine kurze Beschreibung der Auswirkungen der jeweiligen Attacke.
Abhilfe. Dieses Feld gibt Ihnen URLs, unter denen Sie Patches oder Abhilfen finden.
Die folgenden Attacken sind gut bekannt und gut dokumentiert. Wenn Sie für die Sicherung eines Netzwerks verantwortlich sind, sollten Sie diese Grundlagen auf jeden Fall kennen. Auch wenn DoS-Attacken nicht sehr schwerwiegend sind, kann es doch peinlich sein, wenn Ihr Netzwerk durch eine solche beeinträchtigt wird. Da Abhilfen verfügbar sind, gibt es keinen Grund, diese nicht anzuwenden. Nehmen Sie sich jetzt einen Moment Zeit und gehen Sie die folgenden Attacken durch, um zu sehen, ob Sie für eine anfällig sind. Den meisten kann auf einfache Art und Weise abgeholfen werden.
Autor: Die Leute von ROOTSHELL.COM
URL: http://www.njh.com/latest/9801/980109-01.html
Hintergrundinformationen: siehe URL
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Windows 95 und Windows NT
Auswirkung: Dieses Utility läßt jeden Windows 95- oder NT-Rechner abstürzen und ist im Grunde eine modifizierte Version eines Codes, der früher von Route@infonexus.com geschrieben wurde.
Abhilfe: http://itrac.bourg.net/patches/nt/tearfixi.exe
URL: http://www.netlife.fi/users/zombi/hanson.c
Hintergrundinformationen: siehe URL
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Windows mit jedem MIRC-Client
Auswirkung: Schmeißt MIRC-Clients aus dem Netzwerk
Dateiname: inetinfo, inetinfo.c, inetinfo.pl
Autor: Bob Beck. Auch von Chris Bayly und Evan L. Carew
URL: http://www.jabukie.com/Unix_Sourcez/inetinfo
Hintergrundinformationen: http://support.microsoft.com/support/kb/articles/q160/5/ 71.asp
Entwicklungsbetriebssystem: Unix, andere
Zielbetriebssystem: Windows NT 4.0
Auswirkung: Beliebiger Text, der an die Ports 135 und 1031 gesendet wird, läßt den Internet Information Server (IIS) abstürzen.
Beck, Bayly, Carew und die Leute von http://www.rootshell.com berichten über verschiedene Auswirkungen. Sie können diese Attacke selbst testen, wenn Sie wollen. Dazu senden Sie über Telnet eine Reihe von Text-Strings an Port 135 und unterbrechen dann die Verbindung. Dies sollte den IIS zum Absturz bringen. Wenn es so ist, müssen Sie den Patch in Ihrem System installieren.
URL: http://www.jabukie.com/Unix_Sourcez/jolt.c
Hintergrundinformationen: http://www.jabukie.com/Unix_Sourcez/jolt.c
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Windows 95
Auswirkung: Fragmentierte, übergroße Pakete überladen Windows 95.
Abhilfe: http://support.microsoft.com/download/support/mslfiles/Vipup20.exe
Der Patch für Jolt funktioniert nur, wenn Sie zusätzlich den VTCPUPD-
Patch installieren. Diesen finden Sie unter http://support.microsoft.com/
download/support/mslfiles/Vtcpupd.exe.
Jolt wurde anscheinend von älteren DoS-Attacken für POSIX- und SYSV-Systeme abgeleitet. Der Autor von Jolt berichtet, daß manche Systeme nach einem Angriff einen blauen Bildschirm zeigen.
Autor: Die Leute von http://www.rootshell.com
URL: http://www.jabukie.com/Unix_Sourcez/land.c
Hintergrundinformationen: http://www.cisco.com/warp/public/770/land-pub.shtml.
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Viele vernetzte Betriebssysteme und manche Router.
Auswirkung: Pakete mit Verbindungsanfragen, in denen der Ursprungs- und der Zielrechner gleich benannt werden, frieren den Zielrechner ein.
Abhilfe: http://support.microsoft.com/download/support/mslfiles/Vtcpupd.exe
Die LAND-Attacke brachte die Internet-Gemeinde zum Zittern, vor allem wegen der hohen Anzahl von betroffenen Systemen und der Tatsache, daß auch bestimmte Hardware-Komponenten der Netzwerke, darunter Router, anfällig waren.
Sie sollten Ihren Hersteller in bezug auf Abhilfen kontaktieren. Möglicherweise dauert es eine Weile, alle LAND-Variationen zu finden, da so viele Mutationen aufgetaucht sind. Eine Version bringt Windows 95 und NT auch bei installiertem Service Pack 3 zum Absturz. Diese Attacke - sie heißt La Tierra - wurde 1997 von Mondo Man ins Internet gesetzt. Da immer wieder neue Variationen auftauchen, sollten Sie regelmäßig bei Ihrem Anbieter nach neuen Patches fragen. Kurzfristige Abhilfen für Cisco Hardware finden Sie unter http://geek- girl.com/bugtraq/1997_4/0356.html. Oder kontaktieren Sie Ihren entsprechenden Hersteller.
Wenn Sie mit Windows 95 arbeiten, holen Sie sich den Patch für die ursprüngliche LAND- Attacke und für einige Mutationen. Diesen Patch finden Sie hier:
http://support.microsoft.com/download/support/mslfiles/Vtcpupd.exe
Autor: Route@infonexus.com (Michael Schiffman)
URL: http://itrac.bourg.net/exploits/newtear.c
Hintergrundinformationen: siehe URL
Entwicklungsbetriebssystem: Linux, BSD
Zielbetriebssystem: Windows 95 oder Windows NT
Auswirkungen: Eine neue Variation (Januar 1998) von Teardrop, die in einem blauen Bildschirm resultiert und schließlich den Rechner zum Absturz bringt.
Abhilfe: http://itrac.bourg.net/patches/nt/tearfixi.exe
Microsoft hat einen Ratgeber zu dieser neuen Attacke herausgegeben, den Sie hier finden:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/ teardrop2-fix/Q179129.txt
URL: http://www.ludat.lth.se/~dat92jni/dat/pong/pong.c
Hintergrundinformationen: s. URL
Entwicklungsbetriebssystem: Linux
Zielbetriebssystem: Windows 95
Auswirkungen: Ziele, die mit unverlangten ICMP-Paketen überflutet werden, stürzen ab.
URL: http://www.jabukie.com/Unix_Sourcez/puke.c
Hintergrundinformationen: siehe URL.
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Alle Betriebssysteme, da der Fehler eine Schwäche im Internet-Protokoll (IP) ist.
Auswirkungen: Ein ICMP-Source-Unreachable führt zum Abbruch bestehender IP-Verbindungen.
Abhilfe: Der Umgang mit ICMP-Source-Unreachable Paketen auf Kernel-Ebene (IP-Stack) kann entsprechend abgeändert werden.
Autor: Die Leute von ROOTSHELL.COM
URL: http://itrac.bourg.net/exploits/pnserver.c
Hintergrundinformationen: siehe URL
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Jeder Real Audio-Server
Auswirkungen: Bringt den Real Audio-Server zum Absturz und zwingt Sie, den Dienst neu zu starten.
Abhilfe:Keine, kontaktieren Sie http://www.real.com
Dateiname: solaris_land.c, land.c
URL: http://www.leasoft.ch/www/faq/land/solaris/land.c
Hintergrundinformationen: Siehe URL oder http://www.cisco.com/warp/public/770/land- pub.shtml
Entwicklungsbetriebssystem: Solaris 2.5
Zielbetriebssystem: Windows 95
Auswirkungen: Dies ist eine Variation von LAND für Solaris. Sie wird Windows 95-Rechner zum Absturz bringen.
Abhilfe: http://support.microsoft.com/download/support/mslfiles/Vtcpupd.exe
URL: http://www.society-of-shadows.com/security/solaris_telnet.c
Hintergrundinformationen: Siehe URL
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Solaris 2.5
Auswirkungen: Denial-of-Service für den telnet-daemon auf dem Zielhost.
URL: http://www.rat.pp.se/hotel/panik/archive/teardrop.c
Hintergrundinformationen: Siehe URL und Kommentare
Entwicklungsbetriebssystem: Unix
Zielbetriebssystem: Linux, Windows 95 und Windows NT
Auswirkungen: Attacke durch IP-Fragmente blockiert den Zielrechner.
Abhilfe: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes- postSP3/simptcp-fix
Teardrop (und mehrere modifizierte Versionen) beeinträchtigte seit Ende 1997 bis ins erste Quartal 1998 Tausende Server. Windows-basierte Rechner können gegen Teardrop-Attacken geschützt werden. Tabelle 9.3 nennt Ihnen URLs, über die Sie verschiedene Abhilfen gegen Teardrop-Angriffe finden können.
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/teardrop2-fix/tearfixi.exe |
Microsoft-Berichterstattung zu diesem Thema können Sie in Knowledge-Base-Artikeln unter folgenden Adressen finden:
http://support.microsoft.com/support/kb/articles/Q165/0/05.asp
http://support.microsoft.com/support/kb/articles/Q170/7/91.asp
http://support.microsoft.com/support/kb/articles/Q168/7/47.asp
http://support.microsoft.com/support/kb/articles/Q177/5/39.asp
URL: http://www.jabukie.com/Unix_Sourcez/pentium_bug.c
Hintergrundinformationen: http://support.intel.com/support/processors/pentium/ ppiie/descrip.htm
Entwicklungsbetriebssystem: Jeder Pentium-Rechner
Zielbetriebssystem: Keins, es handelt sich um einen Firmware-Fehler
Auswirkung: Der Zielrechner stürzt ab.
Abhilfe: http://support.intel.com/support/processors/pentium/ppiie/descrip.htm#Workaround
Dieses Sicherheitsloch betrifft die meisten Pentium-Prozessoren. Es ermöglicht böswilligen Benutzern mit Zugang die Eingabe von illegalen Befehlen, die den Rechner zum Absturz bringen.
Es ist ein eher ungewöhnlicher Fehler, da er im Chip selbst steckt. Die folgenden Chips sind fehlerhaft:
Nachfolgend finden Sie einen Link zu Intels technischer Übersicht des Problems. Dies nützt Ihnen jedoch nichts. Es ist nahezu unmöglich, daß der Fehler von allein auftaucht. Der einzige Weg, wie Sie ihm zum Opfer fallen können ist über einen böswilligen lokalen Benutzer, der über Programmiererfahrung verfügt.
Es gibt verschiedene Postings und Artikel, die den Fehler auf verschiedenen Betriebssystemen besprechen. Hier sind ein paar:
Vielleicht interessieren Sie auch Intels offizielle Position und Reaktionen zu diesem Problem, dann gehen Sie zu:
http://support.intel.com/support/processors/pentium/ppiie/-Index-htm.
Verschiedene Anbieter (u.a. BSDI, IBM, Microsoft, NCR, Novell, SCO, Sequent, SunSoft und Unisys) haben jeweils individuelle Stellungnahmen zu diesem Fehler ins Internet gesetzt. Diese Stellungnahmen finden Sie bei Intel unter:
http://support.intel.com/support/processors/pentium/ppiie/-Software-htm.
Leider ist dies nicht der einzige Fehler in bezug auf Pentium-Prozessoren. 1997 wurde entdeckt, daß Pentium-Pro-Prozessoren fehlerhaft waren. Unter den folgenden URLs finden Sie Artikel, die sowohl das alte als auch das neue Problem darstellen:
Intel Posts Fix For New Pentium Bug. Leland Baker, San Diego Daily Transcript. 17. November 1997. http://www.sddt.com/files/library/97headlines/11_97/DN97_11_17/ DN97_11_17_tca.html.
Intel Pursues Workaround for Pentium Bug. Lisa DiCarlo, PC Week Online. 11. November 1997. http://207.121.184.191/zdnn/content/pcwo/1110/215480.html.
Intel Engineers Grapple with Pentium Bug. Kelly Spang, Daily News Digest. 10. November 1997. http://crn.com/dailies/weekending111497/nov10digL.asp.
Net Reacts to »F0« Pentium Bug. Brooke Crothers, CNET. 10. November 1997. http:// ne2.news.com/News/Item/0,4,16187,00.html.
Außerdem gibt es eine hervorragende Quelle für Informationen über Entwicklungen hinsichtlich des Pentium-Fehlers. Hier finden Sie Dutzende von Artikeln, Intels Bericht und Beiträge von verschiedenen Spezialisten. Alles in allem ist dieses Archiv, das von Cleve Moler von MATHWORKS.COM betrieben wird, wohl eine schnellere und praktischere Informationsquelle als die Website von Intel:
ftp://ftp.mathworks.com/pub/pentium/
Es gibt eine Lösung für das Problem, die Sie hier finden:
http://support.intel.com/support/processors/pentium/ppiie/descrip.htm#Workaround
Abschließend sollte ich noch betonen, daß nur lokale Benutzer den Pentium-Fehler ausnutzen können. Aus unerklärten Gründen ist eine Reproduktion des Fehlers auf manchen Plattformen noch schwieriger. Zusammengefaßt ist das Risiko nicht sehr hoch, außer Sie haben viele Intel-Rechner, die für die Öffentlichkeit zugänglich sind (wenn Sie beispielsweise Betreiber einer Computerschule oder eines Internet-Cafés sind).
URL: http://www.skyinternet.com/~llo/windoze/winnuke/winnuke.c
Hintergrundinformationen: http://www.skyinternet.com/~llo/windoze/winnuke/ winnuke_tech.html
Entwicklungsbetriebssystem: Linux, BSDI
Zielbetriebssystem: Windows 95 und Windows NT
Auswirkung: Systemzusammenbruch, der einen Neustart erfordert
Abhilfe: http://support.microsoft.com/download/support/mslfiles/Vipup20.exe
Winnuke läßt alle Windows 95- oder Windows NT-Rechner ohne Patches abstürzen, sodaß Sie Ihr System neu starten müssen. Diese Attacke hat einige Mutationen durchgemacht und ist jetzt für viele Entwicklungsbetriebssysteme verfügbar. Tabelle 9.4 listet diese Betriebssysteme auf und stellt Ihnen URLs für Source-Codes und ausführbare Programme zur Verfügung.
Die Lösung ist die Anwendung von Patches. Aber es gibt mindestens ein Tool, das Sie benutzen können, um den möglichen Täter zu entdecken und schließlich zu überführen: Nukenabber.
Nukenabber ist ein kleiner, kompakter Port-Sniffer, der von puppet@earthling.net geschrieben wurde. Das Programm beobachtet die Ports 139, 138, 137, 129 und 53. Über alle diese Ports wurden in der Vergangenheit Denial-of-Service-Attakken implementiert. Nukenabber macht Sie darauf aufmerksam, wenn eine Winnuke-Attacke auf Ihr System erfolgt. Sie erhalten das Programm hier:
http://home.sol.no/~jacjohan/BooH/Nukenabber/
In den letzten Monaten wurden einige DoS-Attacken auf Router entwickelt. Dies ist besonders heimtückisch, da Router die zugrundeliegende Routing-Architektur für das Internet formen. Außerdem kann eine Attacke auf einen Router hundert oder mehr Rechner zum Absturz bringen, da ein einzelner Router Gateway-Dienste für ein gesamtes Netzwerk zur Verfügung stellen kann. In einem solchen Fall läuft jeglicher Datenverkehr zunächst über den Router, bevor er irgendeinen Rechner erreicht. Daher erreicht der Angreifer durch das Ausschalten des Routers, daß das gesamte System keine Verbindung mehr zum Netz hat.
Tabelle 9.5 listet die meistverbreitetsten Attacken für Router auf. Alle aufgeführten Attacken führen zu einem Zusammenbruch des Routers. Die URL-Angaben beinhalten den Source- Code und manchmal auch Abhilfen. Da diese Attacken neu sind, gibt es für viele noch keine sofortigen Abhilfen. In einem solchen Fall sollten Sie Ihren Router-Anbieter kontaktieren.
Motorola CableRouter-Produkte sind ebenfalls anfällig für DoS-Attacken. Die DoS-Attacke kann auf sehr einfache Art und Weise implementiert werden: Der Angreifer startet wiederholte Telnet-Sessions am Ziel. Dies führt zu Speicherverlusten, der Router stellt seinen Betrieb ein.
Die ernstere Sicherheitsschwachstelle besteht allerdings in einem Default-Login und -Paßwort. Um diese Schwachstelle auszunutzen, senden Sie eine Telnet-Anfrage an Port 1024, loggen sich als »cablecom« ein und verwenden »router« als Paßwort. Dies ist eine ernsthafte Sicherheitslücke, die für viele Kabel-Provider ein Risiko darstellt. Wenn Sie Internet-Anbindung über Kabelanschluß vertreiben und Motorola CableRouter-Produkte einsetzen, ändern Sie sofort Ihr Login und Ihr Paßwort.
Es gibt auch noch andere, ältere DoS-Tools, die Sie kennen sollten, wenn Sie mit älterer Software arbeiten.
Diese Attacke ist weithin als »Ping of Death« bekannt. Sie beeinträchtigt hauptsächlich Windows- und Windows NT 3.51-Rechner. »Ping of Death« ist kein Programm, sondern ein einfaches Verfahren, das das Versenden von ungewöhnlich großen ping-Paketen beinhaltet. Wenn der Zielrechner diese großen Pakete bearbeitet, stürzt er ab. Dies zeigt sich in Form eines blauen Bildschirms mit Fehlermeldungen, von denen sich der Rechner nicht erholen kann. Microsoft hat eine Abhilfe für das Problem zur Verfügung gestellt, die Sie im folgenden Wegweiser finden.
Lesen Sie den offiziellen Ratgeber zu »Ping of Death« unter http://support.microsoft.com/support/kb/articles/Q132/4/70.asp
.
SynFlooder ist ein kleines Utility, das Unix-Server betriebsunfähig machen kann. Das Programm überschwemmt das Ziel mit Verbindungsanfragen. Das Ziel versucht, diese Anfragen zu bearbeiten, bis schließlich die maximale Anzahl der IP-Verbindungen erreicht wird. Dadurch können keine weiteren Verbindungsanfragen bearbeitet werden und der Zielrechner wird seine Dienste vorübergehend einstellen. Schauen Sie sich den Source-Code an unter:
http://www.hackersclub.com/km/downloads/c_scripts/synflood.c
DNSKiller bringt den DNS-Server eines Windows NT 4.0-Rechners zum Absturz. Der Source-Code wurde für eine Linux-Umgebung geschrieben, kann aber auch auf BSD-Plattformen laufen. Um Ihren Rechner zu prüfen, laden Sie den Source-Code herunter, kompilieren Sie ihn und führen Sie ihn aus:
http://www.otol.fi/~jukkao/bugtraq/before-971202/0015.html
Arnudp100.c ist ein Programm, das UDP-Pakete fälscht und dazu benutzt werden kann, Denial-of-Service-Attacken auf die Ports 7, 13. 19 und 37 zu starten. Um diese Attacke zu verstehen, empfehle ich Ihnen die Lektüre des folgenden Berichts: »Defining Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacks« von Cisco Systems. Eine weitere gute Informationsquelle ist das CERT Advisory CA-96.01.
Cisco Systems' »Defining Strategies to Protect Against UDP Diagnostic Port
Denial of Service Attacks« finden Sie online unter http://cio.cisco.com/
warp/public/707/3.html.
Das CERT-Advisory CA-96.01 finden Sie hier: ftp://ftp.cert.org/pub/
cert_advisories/CA-96.01.UDP_service_denial
cbcb.c ist ein cancelbot, d.h. ein Programm, das auf Usenet News-Postings zielt und diese zerstört. cbcb.c erstellt Cancel-Kontroll-Meldungen für jedes Posting, das Ihren Kriterien entspricht. Sie können Tausende von Usenet News-Nachrichten mit diesem Utility verschwinden lassen. Zwar ist dies keine Denial-of-Service-Attacke im klassischen Sinn, aber ich habe sie trotzdem hier erwähnt, weil sie dem Ziel den Usenet-Dienst verweigert. Direkter gesagt, diese Attacke verweigert dem Ziel sein Recht zur Selbstdarstellung (egal, wie dumm seine Meinung für andere auch sein mag). Erstmals veröffentlicht in dem Online-Zine Phrack, finden Sie den Source-Code hier:
http://www.opensite.com.br/~flash/phrack/49/9.html
Zum Schluß stelle ich Ihnen noch einige nützliche Informationsquellen zum Thema Denial- of-Service-Attacken zur Verfügung.
Update on Network Denial of Service Attacks. (Teardrop/NewTear/Bonk/Boink). Microsoft Security Advisory. März 1998. http://www.eu.microsoft.com/security/netdos.htm .
MCI Security MCI Security. http://www.security.mci.net/check.html#RTFToC462.
Denial of Service Attacks on any Internet Server Through SYN Flooding. Tom Kermode. http://www.zebra.co.uk/tom/writing/flood.htm.
Berkeley Software Design, Inc. http://www.bsdi.com/press/19961002.html.
Reporting Nukes or Denial of Service Attacks. Joseph Lo; Duke University. http://deckard.mc.duke.edu/irchelp/nuke/report.html .
Malformed UDP Packets in Denial of Service Attacks. CIAC Bulletin. http:// ciac.llnl.gov/ciac/bulletins/i-031a.shtml.
Computerviren sind die gefährlichsten aller destruktiven Programme. Abgesehen von der Tatsache, daß Computerviren in Denial-of-Service resultieren können, zerstören viele Computerviren Daten. Außerdem können manche Viren (allerdings nur sehr wenige) einen Rechner völlig lahmlegen. Aus all diesen Gründen sind Viren einzigartig.
In bezug auf das Internet stellen Computerviren ein ganz besonderes Sicherheitsrisiko dar. Viren sind am gefährlichsten, wenn sie in vernetzte Umgebungen ausgesetzt werden und zu keiner Umgebung paßt diese Beschreibung besser als zum Internet.
Ein Computervirus ist ein Programm, das sich an Dateien auf dem Zielrechner hängt. Während dieses Vorgangs - der Infizierung - wird der ursprüngliche Code des Virus an die Dateien angefügt. Wenn eine Datei infiziert ist, verwandelt sie sich von einer normalen Datei in einen Virusträger. Von diesem Zeitpunkt an kann die infizierte Datei selbst andere Dateien infizieren. Dieser Vorgang wird Replikation genannt. Durch Replikation können sich Viren über die gesamte Festplatte verbreiten und so zu einer Systeminfizierung führen. Meist gibt es kaum Warnungen, bevor eine solche Systeminfizierung erreicht wird und dann ist es zu spät.
In den letzten Jahren sind Tausende neuer Computerviren entstanden. Diese sind verschieden programmiert und greifen jede Art von Dateien an. Früher allerdings griffen Viren in erster Linie ausführbare Dateien an.
Hat sich ein Virus an eine ausführbare Datei gehängt, wird diese Datei bei ihrer Ausführung andere Dateien infizieren. Dies ist ein sich wiederholender Prozess und es dauert nicht lang, bis das gesamte System infiziert ist. Denken Sie daran, wie viele ausführbare Dateien jeden Tag auf Ihrem Rechner geladen werden. Jedesmal wenn Sie eine Applikation öffnen, wird mindestens eine ausführbare Datei geladen. Einige Applikationen öffnen beim Starten mehrere Dateien, während andere Applikationen immer dann verschiedene Dateien öffnen, wenn sie bestimmte Arbeitsabläufe durchführen.
Zusätzlich zu den Viren, die ausführbare Dateien befallen, existieren Tausende von Datendatei-Viren. Diese Viren (Makroviren) infizieren Datendateien wie z.B. Dokumente, die in Microsoft Word oder Excel erstellt wurden. Derartige Viren greifen üblicherweise Ihre globale Dokumentvorlage an und beschädigen letztendlich jedes Dokument, das in Word oder Excel geöffnet wird.
Es gibt noch eine dritte Klasse von Dateien, die infiziert werden können: Gerätetreiber- Dateien. (Dies betrifft hauptsächlich ältere Systeme wie z.B. eine DOS/Windows 3.11- Kombination. In diesen Systemen werden Gerätetreiber-Dateien in den hohen Speicherbereich geladen und können hier von Viren befallen werden.)
Computerviren werden hauptsächlich geschrieben von:
Jede Gruppe hat etwas unterschiedliche Motive. Junge Leute schreiben Computerviren zum Spaß oder um von sich hören zu machen. Schließlich arbeiten Jugendliche in der Regel nicht als Programmierer, weil sie zu jung sind. Sie benutzen das Schreiben eines Virus als einen Weg, auf ihre Programmierfähigkeiten aufmerksam zu machen.
Sicherheitsspezialisten dagegen schreiben rein beruflich Computerviren. Zum Beispiel werden sie gut bezahlt dafür, Viren zu entwickeln, die besonders schwer zu entdecken und auszulöschen sind. Sicherheits-Teams nehmen sich dann diese Computerviren vor und versuchen, Lösungen zu finden.
Ausländische Entwickler sind für die größte Anzahl von Viren verantwortlich. Es gibt einen faszinierenden Bericht im Internet über die wachsende Zahl von Entwicklungsteams für Computerviren in Osteuropa. Der Bericht beschreibt, wie Computerviren diese Programmiergemeinden im Sturm eroberten. Die Entwicklung von Viren ist zu einem Phänomen geworden. Es wurden sogar Mailbox-Systeme ins Leben gerufen, über die die Entwickler von Viren Ideen und Codes austauschen können. Der Bericht läßt sich gut lesen und gibt Ihnen einen allgemeinen Überblick über die Virenentwicklung in einer nicht-kapitalistischen Umgebung. Er heißt »The Bulgarian and Soviet Virus Factories« und wurde von Vesselin Bontchev geschrieben, dem Direktor des Labors für Computerviren an der Bulgarischen Akademie der Wissenschaften in Sofia, Bulgarien. Sie finden ihn unter http://www.drsolomon.com/ftp/papers/factory.txt .
Viele Programmierer entwickeln Computerviren mit Hilfe von Virus-Bausätzen, das sind Applikationen, die speziell für die Erzeugung von Virus-Code entwickelt wurden. Diese Bausätze werden im Internet in Umlauf gesetzt. Hier sind die Namen einiger dieser Bausätze:
Diese Bausätze sind in der Regel einfach zu benutzen und ermöglichen fast jedem, einen Virus zu entwickeln. (Im Gegensatz zu der »guten, alten Zeit«, als fortgeschrittene Programmierkenntnisse nötig waren.) Dies hat zu einer Steigerung der Anzahl der Computerviren »in the wild« geführt.
Wenn Sie jemals einen Viruscode gesehen haben, werden Sie bemerkt haben, wie unglaublich klein Viren sind. Klein zumindest für ein Programm, das soviel kann. Es gibt einen guten Grund hierfür. Die meisten Viren werden in Assembler geschrieben. Assembler erzeugt sehr kleine Programme, weil es eine (maschinennahe) Programmiersprache niederer Ebene ist.
Die Klassifizierung einer Programmiersprache als eine »niederer Ebene« oder »hoher Ebene« hängt nur davon ab, wie nah (oder wie weit) diese Sprache sich von der Maschinensprache entfernt. (Maschinensprache ist für den Menschen nicht lesbar und besteht aus numerischen Angaben, meistens 1 oder 0.) Eine Sprache hoher oder mittlerer Ebene beinhaltet die Nutzung von einfachem Englisch und von Mathematik und wird ziemlich genau so ausgedrückt, wie Sie einem menschlichen Wesen etwas erklären würden. BASIC, PASCAL und C gehören alle zu den Programmiersprachen mittlerer Ebene: Sie können dem Rechner »sagen«, was jede Funktion ist, was sie tut und wie sie das tut.
Assembler dagegen ist nur einen Schritt von der Maschinensprache entfernt. Da es auf so direkte Art und Weise mit der Hardware des Rechners kommuniziert, sind die resultierenden Programme sehr klein. (Anders gesagt ist der Übersetzungsprozeß minimal. Hier liegt ein großer Unterschied zu C, wo umfangreiche Übersetzungen vorgenommen werden müssen, um das einfache Englisch in maschinenlesbaren Code umzuwandeln. Je weniger Übersetzung, umso kleiner ist die resultierende Binärdatei.)
Wenn Sie mehr über Assembler wissen wollen, kann ich Ihnen eine hervorragende
Seite im Web empfehlen, die über eine Suchmaschine verfügt, mit der
Sie gezielt nach Begriffen, Funktionen und Definitionen suchen können. Sie
finden Sie unter http://udgftp.cencar.udg.mx/ingles/tutor/Assembler.html
.
Die meisten Viren arbeiten auf ähnliche Weise wie Terminate-And-Stay-Resident-Programme : Sie sind immer aktiv und lauschen auf Aktivitäten im System. Wenn eine Aktivität einem bestimmten Kriterium entspricht (beispielsweise das Ausführen einer ausführbaren Datei), erwacht der Virus zum Leben und hängt sich an das aktive Programm.
Am leichtesten läßt sich dieser Prozeß mit Hilfe der Master-Boot-Record-Viren darstellen.
Festplattentreiber benutzen Daten, die im Master-Boot-Record (MBR) gespeichert sind, um grundlegende Boot-Prozesse durchzuführen. Der MBR befindet sich am Zylinder 0, Kopf 0, Sektor 1 (oder logische Blockadresse (LBA) 0. LBA-Methoden der Adressierung unterscheiden sich etwas von konventioneller Adressierung; Sektor 1 = LBA 0.)
Für so einen kleinen Teil der Festplatte hat der MBR eine sehr wichtige Aufgabe: Er erklärt jedem Programm die Eigenschaften der Festplatte. Dafür speichert der MBR Informationen in bezug auf die Struktur der Festplatte. Diese Informationen werden Partitionstabelle genannt.
Wenn ein Rechner bootet, geht er davon aus, daß die CMOS-Einstellungen korrekt sind. Diese Werte werden gelesen und überprüft. Wenn der Rechner merkt, daß die Größe der Festplatte 1 GB beträgt, die BIOS-Einstellungen aber 500 MB angeben, wird der Rechner nicht booten, sondern eine Fehlermeldung generieren. Auf ganz ähnliche Art und Weise wird das RAM in Hinsicht auf ungültige Speicheradressen überprüft. Wenn keine Fehlermeldungen erfolgen, wird schließlich der eigentliche Boot-Prozess gestartet. An diesem Punkt übernimmt der MBR das Ruder und die Festplatte bootet. Eine kritische Situation kann sich entwickeln, wenn ein Virus den Boot-Sektor infiziert hat.
Spezialisten von McAfee, dem führenden Anbieter für Anti-Virus-Lösungen, erklären:
Master-Boot-Record/Boot-Sektor-Viren sind die Viren, die den MBR oder den Boot- Sektor von Festplatten oder den Boot-Sektor von Disketten infizieren. Diese Viren sind die erfolgreichsten Viren der Welt. Das liegt daran, daß sie relativ einfach zu schreiben sind, die Kontrolle über einen Rechner auf einer sehr niedrigen Ebene übernehmen und die meisten von ihnen Stealthviren (Tarnkappenviren) sind. 80 Prozent der Anrufe für den McAfee-Support betreffen diese Viren.
MBR-Viren sind besonders gemein, weil sie immer, wenn Ihr Rechner auf Disketten zugreift, diese infizieren. Daher werden MBR-Viren so oft »in the wild« gesehen - weil sie Disketten infizieren, können sie sehr leicht von Rechner zu Rechner weitergegeben werden.
Nehmen Sie für den Augenblick an, daß Sie einen »sauberen« MBR haben. Wie kann es einem Virus gelingen, ihn zu infizieren? Die Infizierung erfolgt, wenn Sie mit einer infizierten Diskette booten. Betrachten Sie folgende Situation: Sie entscheiden, daß Sie ein neues Betriebssystem auf Ihre Festplatte laden wollen. Dafür benutzen Sie eine Boot-Diskette (diese Boot-Diskette beinhaltet eine kleine Boot-Routine, die Sie durch die Installation führt).
Während des Boot-Prozesses lädt sich der Virus in den Speicher. (In der Regel jedoch nicht in den hohen Speicherbereich. Tatsächlich gibt es nur sehr wenige Viren, die bekannt dafür sind, sich im hohen Speicherbereich aufzuhalten. Wenn es einer tut, ist es meist, weil er seinen Weg dorthin »huckepack« genommen hat - er hat sich an eine ausführbare Datei oder einen Treiber gehängt, die bzw. der immer hoch geladen wird.)
Einmal in den Speicher geladen liest der Virus die MBR Partitions-Informationen. In einigen Fällen hat der Virus-Programmierer eine Routine hinzugefügt, die frühere Infizierungen des MBR überprüft. (Es prüft nicht nur Infizierungen durch seinen eigenen Virus, sondern auch solche durch andere Viren. Dies Vorgehensweise ist meist auf einige wenige andere Viren beschränkt, da der Programmierer Ressourcen sparen will. Ein Virus, der vor seiner Installation eine Infizierung von vielen anderen Viren überprüft, wäre größer, einfacher zu entdekken, schwerer zu übertragen usw.) Der Virus ersetzt dann die MBR-Informationen durch seine eigene, modifizierte Version. Der Infizierungsprozess ist abgeschlossen.
Die meisten Viren zerstören eigentlich keine Daten, sondern infizieren nur Festplatten, Disketten oder Dateien. Es gibt jedoch viele Fälle, in denen eine Infizierung ausreicht, um Dienste zu unterbrechen. So arbeiten beispielsweise manche Treiber fehlerhaft, wenn sie infiziert sind. Das heißt allerdings nicht, daß es nicht auch destruktive Viren gibt.
Berichten zufolge wurde 1986 der erste Virus »in the wild« entdeckt. Er wurde Brain-Virus genannt. Nach der CIAC Virus-Datenbank des U.S. Department of Energy war der Brain- Virus ein speicherresidenter Boot-Sektor-Virus:
Dieser Virus infiziert nur die Boot-Sektoren von 360KB-Disketten. Er richtet keinen böswilligen Schaden an, aber Fehler im Viruscode können durch ein Durcheinandermischen von Daten in den Diskettendateien oder der Dateizuordnungstabelle zu Datenverlusten führen. Der Virus scheint sich nicht in einer Festplattenumgebung zu vermehren.
Das folgende Jahr brachte verschiedene Viren mit sich, darunter einige, die wirklich Schaden anrichteten. Der Merrit-Virus (entdeckt im Jahre 1987) konnte die Dateizuordnungstabelle auf einer Diskette zerstören. Dieser Virus durchlief einige Entwicklungsphasen, die gefährlichste war eine Version namens Golden Gate. Golden Gate konnte angeblich das Festplattenlaufwerk umformatieren.
Seit dieser Zeit haben Neuerungen in der Virustechnologie die Schöpfungen zunehmend komplexer werden lassen. Dies hat zu Klassifizierungen geführt. Es gibt im Grunde genommen drei Arten von Viren:
Der einzige materielle Unterschied zwischen dem ersten Typ und den vielen Variationen der Boot-Sektor-Viren ist, daß Boot-Sektor-Viren auf Disketten zielen. Dateiviren dagegen sind verschieden. Im Gegensatz zu den Boot-Sektor-Viren, die nur einen kleinen Teil der Festplatte oder Diskette angreifen, können sich Dateiviren auf das gesamte System ausbreiten.
Dateiviren infizieren meistens nur eine spezielle Art von Dateien - in der Regel ausführbare
Dateien. .COM und .EXE-Dateien sind ein gutes Beispiel. Dateiviren beschränken sich allerdings
nicht nur auf ausführbare Dateien. Einige infizieren Overlaydateien (.OVL) oder
Systemtreiber-Dateien (.SYS, .DRV).
Schätzungen zufolge gibt es derzeit mehr als 7.000 Dateiviren allein für die DOS-Plattform. Sie können sich denken, daß die Entwickler von Computerviren wild darauf sind, Dateiviren zu schreiben, da diese sich sehr weit verbreiten können. Innerhalb von 10 Tagen kann ein Dateivirus die meisten (vielleicht sogar alle) ausführbaren Dateien auf einem Computersystem infizieren. Das liegt an der Art und Weise, in der Dateiviren arbeiten.
Unter Normalbetrieb (auf einem nichtinfizierten Rechner) wird ein Befehl ohne besondere Vorkommnisse ausgeführt und in den Speicher geladen. Wenn sich ein Dateivirus auf dem Rechner befindet, wird der Prozess jedoch komplizierter, weil der Dateivirus den Aufruf aufhält.
Nach Infizierung der Programmdatei gibt der Virus die Kontrolle über das System wieder auf und überläßt dem Betriebssystem die Zügel. Das Betriebssystem lädt dann die infizierte Datei in den Speicher. Dieser Prozess wird für jede Datei, die in den Systemspeicher geladen wird, wiederholt. Halten Sie einen Moment inne und denken Sie nach. Wie viele Dateien werden im Laufe eines Arbeitstages in den Speicher geladen? Das ist die Art und Weise, in der Dateiviren schließlich eine Infizierung des gesamten Systems erreichen.
Zusätzlich zu den Klassifizierungen von Viren gibt es auch noch verschiedene Virentypen. Diese Typen werden abgeleitet von der Arbeitsweise des Virus oder von den Programmiertechniken, mit deren Hilfe der Virus erstellt wurde. Hier sind zwei Beispiele:
Virustechnologie wird immer komplexer, was zum größten Teil an der Anzahl der neu entdeckten Viren liegt. Die Chancen, daß Sie sich über das Internet einen Virus einfangen, sind gering, aber es ist nicht vollkommen ausgeschlossen. Es hängt davon ab, wo Sie hingehen. Wenn Sie die Hintergassen des Internet frequentieren, sollten Sie beim Herunterladen von Dateien (mit digitaler Unterschrift oder ohne) Vorsicht walten lassen. In Usenet Newsgroups könnten Viren gefunden werden, insbesondere in solchen Newsgruppen, in denen »heiße« oder beschränkte Materialien gehandelt werden. Beispiele für solche Materialien sind warez (Raubkopien von Software) oder Pornographie. Ich möchte Sie eingehend davor warnen, jegliche archivierte oder zip-Dateien aus entsprechenden Newsgroups herunterzuladen. Ebenso suspekt sind Newsgroups, die Cracking-Utilities verbreiten.
Wenn Sie ein Systemverwalter sind, habe ich einen anderen Rat. Zunächst ist es richtig, daß die meisten Viren für IBM-kompatible Plattformen geschrieben wurden - insbesondere für Plattformen, auf denen DOS, Windows, Windows NT und Windows 95 laufen. Wenn Ihr Netzwerk aus Rechnern mit diesen Betriebssystemen besteht und Sie außerdem Ihren Benutzern Zugang zum Internet ermöglichen, haben Sie ein Problem.
Es gibt keinen zuverlässigen Weg, die Art der Daten, die Ihre Benutzer herunterladen, einzuschränken. Sie können Richtlinien herausgeben, die jegliches Herunterladen verbieten, aber Ihre Benutzer werden wahrscheinlich trotzdem die ein oder andere Datei herunterladen. Das liegt einfach in der menschlichen Natur. Ich empfehle Ihnen daher, daß Sie einen speicherresidenten Virus-Scanner auf allen Rechnern Ihres Netzwerks laufen lassen, und zwar 24 Stunden am Tag. (Am Ende dieses Abschnitts finden Sie einige Quellen, über die Sie solche Produkte erhalten können.)
Um mehr über die Arbeitsweise von Viren zu lernen, sollten Sie einige Zeit in einer Virusdatenbank im Internet verbringen. Es gibt einige dieser Datenbanken, die umfassende Informationen über bekannte Viren bieten. Die umfassendste und nützlichste Website, die ich jemals zu diesem Thema gesehen habe, ist die des Department of Energy.
Hier finden Sie das Department of Energy online: http://ciac.llnl.gov/
ciac/CIACVirusDatabase.html.
Die Liste ist alphabetisch geordnet, Sie können aber auch nach Plattformen suchen. Sie werden sofort sehen, daß die meisten Viren für Microsoft-Plattformen geschrieben wurden und davon die meisten für DOS. Was Sie nicht sehen werden, sind bekannte Unix-Viren »in the wild«. Aber vielleicht gibt es ja derartige Informationen bis zu dem Zeitpunkt, zu dem Sie dieses Buch lesen. Es gibt Gerede im Internet über einen Virus für die Linux-Plattform, der Bliss genannt wird.
Ich möchte noch erklären, warum die meisten Viren für PC-Plattformen und nicht für z.B. Unix geschrieben werden. In Unix (und Windows NT) stehen umfangreiche Kontrollmechanismen für den Zugang zu Dateien zur Verfügung. Einschränkungen können auf Dateien gelegt werden, sodaß Benutzer A auf diese Datei zugreifen kann und Benutzer B nicht. Wegen dieses Phänomens (Zugangskontrolle genannt), würden Viren in einer solchen Umgebung nicht weit kommen. Sie könnten beispielsweise keine Infizierung des gesamten Systems erreichen.
Auf alle Fälle stellen Viren ein Risiko im Internet dar. Offensichtlich ist dieses Risiko für DOS- oder Windows-Anwender höher. Es gibt aber einige Tools, um Ihr System vor den Auswirkungen einer Virus-Infizierung zu schützen.
Hier ist eine Liste bekannter und zuverlässiger Anti-Virenprogramme. Ich habe schon mit allen Programmen in der Liste gearbeitet und kann alle empfehlen. Ich möchte jedoch betonen, daß das Fehlen von Produkten in dieser Liste nicht heißt, daß das Produkt nicht gut ist. Es gibt Hunderte von Anti-Virenprogrammen im Internet, von denen die meisten ähnliche Verfahren zur Entdeckung eines Virus anwenden.
VirusScan für Windows 95 von McAfee finden Sie online unter:
http://www.nai.com/default_mcafee.asp
Thunderbyte Anti-Virus für Windows 95 finden Sie online unter:
Norton Anti-Virus für DOS, Windows 95 und Windows NT von Symantec finden Sie online unter:
http://www.symantec.com/avcenter/index.html
ViruSafe von Eliashim finden Sie online unter:
PC-Cillin-II von Check-It finden Sie online unter:
Dr. Solomon's FindVirus für DOS Version 7.68 finden Sie online unter:
Sweep für Windows 95 und Windows NT von Sophos finden Sie online unter:
Iris Antivirus Plus von Iris Software finden Sie online unter:
Norman Virus Control von Norman Data Defense Systems finden Sie online unter:
F-PROT Professional Anti-Virus Toolkit von DataFellows finden Sie online unter:
Den Intergrity Master von Stiller Research finden Sie online unter:
http://www.stiller.com/stiller.htm
Es gibt Hunderte von Virusscannern und -Utilities. Ich habe die vorgehenden hauptsächlich deshalb erwähnt, weil sie über das Internet erhältlich sind und regelmäßig aktualisiert werden. Aktualität ist ein wichtiger Punkt: Jeden Tag werden überall in der Welt Viren gefunden. Da Virusentwickler weiterhin immer wieder neue Werke herausbringen (und diese oft neue Technologien, einschließlich Stealth, beinhalten), ist es absolut notwendig, daß Sie immer die allerneuesten Tools benutzen.
Dem entgegengesetzt haben Sie vielleicht noch einige alte Rechner, auf denen möglicherweise frühe Versionen des einen oder anderen Betriebssystems laufen. Es ist möglich, daß Sie auf solchen Systemen Software für Windows 95 oder Windows NT nicht laufen lassen können. Für eine große Auswahl an Virus-Utilities empfehle ich Ihnen die folgenden Websites:
Die Simtel.Net MS-DOS Collection am OAK Repository bietet Programme zur Virenentdeckung und -beseitigung. Sie finden diese Website online unter:
http://oak.oakland.edu/simtel.net/msdos/virus.html
Die Simtel.Net Windows 3.x Collection am OAK Repository bietet Programme zur Virenentdeckung und -beseitigung. Sie finden diese Website online unter:
http://oak.oakland.edu/simtel.net/win3/virus.html
Im folgenden finden Sie eine Liste von Artikeln, Büchern und Websites zum Thema Computerviren . Einige der Bücher sind schon etwas älter, werden heute aber als Standardwerke für das Gebiet gehandelt.
Robert Slade's Guide to Computer Viruses: How to Avoid Them, How to Get Rid of Them, and How to Get Help (Second Edition). Springer. 1996. ISBN: 0-387-94663-2.
Virus: Detection and Elimination. Rune Skardhamar. AP Professional. 1996. ISBN: 0-12- 647690-X.
The Giant Black Book of Computer Viruses. Mark A. Ludwig. American Eagle. 1995.
1996 Computer Virus Prevalence Survey. NCSA National Computer Security Association. (Sehr gute Informationsquelle.)
The Computer Virus Crisis. Fites, Johnson und Kratz. Van Nostrand Reinhold Computer Publishing. 1988. ISBN: 0-442-28532-9.
Computer Viruses and Related Threats: a Management Guide. National Technical Information Service (NTIS). PB90-115601CAU.
A Passive Defense Against Computer Viruses. Frank Hoffmeister. Protokoll des IASTED International Symposium Applied Informatics. pp. 176-179. Acta Press. 1987.
PC Security and Virus Protection: the Ongoing War Against Information Sabotage. Pamela Kane. M&T Books. 1994. ISBN: 1-55851-390-6.
How Prevalent Are Computer Viruses? Jeffrey O. Kephart und Steve R. White. Technical Report RC 17822 No78319. Watson. 1992.
A Short Course on Computer Viruses (Second Edition). Frederick B. Cohen. Serientitel: Wiley Professional Computing. John Wiley & Sons. 1994. ISBN: 1-471-00769-2.
A Pathology of Computer Viruses. David Ferbrache. Springer-Verlag. 1992. ISBN: 0-387- 19610-2; 3-540-19610-2.
The Virus Creation Labs: A Journey into the Underground. George Smith. American Eagle Publications. ISBN 0-929408-09-8. Auch besprochen in Net Magazine, Februar 1996.
Viruses in Chicago: The Threat to Windows 95. Ian Whalley, Editor. Virus Bulletin. Abingdon Science Park, England. http://www.virusbtn.com/VBPapers/Ivpc96/.
Computer Virus Help Desk. Courtesy of the Computer Virus Research Center. Indianapolis, Indiana. http://iw1.indyweb.net/~cvhd/.
European Institute for Computer Anti-Virus Research.
http://www.eicar.com/.
Future Trends in Virus Writing. Vesselin Bontchev. Virus Test Center. Universität Hamburg. http://www.virusbtn.com/OtherPapers/Trends/.
Dr. Solomon's Virus Encyclopedia. http://www.drsolomon.com/vircen/enc.
Internet Computer Virus and the Vulnerability of National Telecommunications Networks to Computer Viruses. Jack L. Brock. November 1988. GAO/T-IMTEC-89-10, Washington, D.C., 20. Juli 1989. Testimonial statement von Jack L. Brock, Director, U.S. Government Information vor dem Subcommittee on Telecommunications and Finance, Committee on Energy and Commerce, House of Representatives.
A Guide to the Selection of Anti-Virus Tools and Techniques. W. T. Polk und L. E. Bassham. National Institute of Standards and Technology Computer Security Division. Freitag, 11. März 1994; 21:26:41 EST. http://csrc.ncsl.nist.gov/nistpubs/select/.
Destruktive Programme sind nicht nur für diejenigen von Bedeutung, die im Internet Informationen zur Verfügung stellen, sondern für alle Benutzer. Viele Leute können es nicht nachvollziehen, warum jemand solche Programme entwikkelt, vor allem da Daten heutzutage so wichtig geworden sind. Dies ist eine Frage, die nur Virenschreiber beantworten können. Auf alle Fälle sollte jeder Anwender (insbesondere Internetbenutzer) zumindest grundlegendes über destruktive Programme wissen. Es ist sehr wahrscheinlich, daß Sie irgendwann auf ein solches Programm treffen. Aus diesem Grund sollten Sie eine der wichtigsten Regeln für das Arbeiten mit Computern befolgen - erstellen Sie oft Backups. Wenn Sie dies nicht tun, werden Sie später möglicherweise Konsequenzen tragen müssen.
