Destruktive Programme

Destruktive Programme sind Codes, die eines oder beide der folgenden Ziele haben:

Destruktive Programme werden in der Regel von unreifen Skript- Kiddies, verärgerten Angestellten oder Gelegenheitscrackern eingesetzt, sei es aus Spaß, aus kriminellem Hintergrund oder nur um, andere zu belästigen.

Das Sicherheitsrisiko destruktiver Programme

Die meisten destruktiven Programme stellen kein Sicherheitsrisiko dar, sondern sind in erster Linie Ärgernisse. Allerdings können diese Programme manchmal die Funktionsfähigkeit Ihres Netzwerks bedrohen. Ein Programm beispielsweise, das einen Router oder einen Mail-Server unter eine anhaltende Denial-of-Service- Attacke bringt, könnte ein Sicherheitsrisiko darstellen. Auf alle Fälle können legitime Netzwerkbenutzer während der Dauer eines derartigen Angriffs nicht auf wichtige Netzwerk-Ressourcen zugreifen. Zwar wird das System an sich durch den Angriff nicht gefährdet, aber er führt zu einer Unterbrechung der System-Arbeitsabläufe. Daher sollte jeder Systemadministrator über Denial- of-Service und destruktive Programme Bescheid wissen.

E-Mail-Bomben

E-Mail-Bomben führen selten zu Datenverlust oder Sicherheitslöchern, sondern sind Tools, die belästigen.

Was ist eine E-Mail-Bombe?

Eine E-Mail-Bombe ist einfach eine Serie von Nachrichten (manchmal Zehntausende), die an Ihre Mailbox gesandt werden. Der Angreifer will Ihre Mailbox mit Müll zubomben. Normalerweise ist eine E-Mail-Bombe etwa 2 Mbyte groß. Wenn Sie eine Anwählverbindung zum Internet haben, führt dies zu erhöhten Verbindungsgebühren und ist schlicht Zeitverschwendung.

E-Mail- Bomben- Pakete

E-Mail-Bomben-Pakete sind Programme, die den Prozess des E-Mail- Bombings automatisieren. Systemadministratoren sollten diese Pakete und die Dateinamen, die mit ihnen verknüpft sind, kennen.

Tabelle 1.1 listet die bekanntesten E-Mail-Bomben und die dazugehörenden Dateinamen auf.

**Tabelle 1.1: Bekannte E-Mail-Bomben-Pakete und dazugehörende Dateinamen**
E-Mail-Bomben-Paket	Dateinamen
Up Yours	UPYOURS3.ZIP, UPYOURS3.EXE, MAILCHECK.EXE, UPYOURSX
Kaboom	KABOOM3.ZIP, KABOOM3.EXE, KABOOM3!.ZIP, WSERR.DLL
The Unabomber	UNA.EXE, KWANTAM.NFO
The Windows Email Bomber	BOMB.EXE, BOMB.TXT, BOMB02B.ZIP
Gatemail	GATEMAIL.C
Unix Mail-Bomber	MAILBOMB.C

Wie geht man mit E-Mail-Bomben um?

Kill Files (Liste, die Nachrichten von unerwünschten Absendern ausfiltert und löscht), Exklusionsschemen und Mail-Filter sind alles Abhilfen für E-Mail-Bomben. Mit Hilfe dieser Tools können Sie automatisch Mail ablehnen, die von der Absenderadresse mit diesen Tools losgeschickt wurde.

Es gibt verschiedene Wege, ein solches Exklusionsschema zu implementieren. Unix- Anwender finden online eine große Vielfalt an Quellen.

Wenn Sie mit Windows oder MacOS arbeiten, kann ich Ihnen jede Menge Mail-Filter-Applikationen im Internet

Wenn Sie jemand bombardiert, können Sie einen menschlichen Ansatz versuchen und seinen Postmaster kontaktieren. Manchmal ist dies nicht so recht wirksam; der Benutzer wird ermahnt, sein Verhalten zu unterlassen. In den meisten Fällen reicht dies zur Abschreckung. Manche Provider sind sogar hart und schließen auf der Stelle den Account.

Eine andere Lösung ist ein bißchen gewiefter, funktioniert aber gut und kann automatisiert werden. So geht's: Schreiben Sie ein Script, das die E-Mail-Adresse des Angreifers auffängt. Für jede erhaltene Nachricht antworten Sie automatisch mit einem höflichen 10seitigen Hinweis, dass derartige Attacken der Netiquette widersprechen und dass sie unter gewissen Umständen sogar gegen das Gesetz verstoßen. Nachdem der Angreifer etwa 1.000 derartige Antworten erhalten hat, wird sein Provider an die Decke gehen, den Angreifer zu sich zitieren und ihm die Finger abhacken.

Nicht alle Internet Service Provider handeln verantwortlich. Manchen ist es egal, ob ihre Benutzer E-Mail-Bomben an andere versenden. Die beste Reaktion ist, den Verkehr von der entsprechenden Domain abzuweisen.

E-Mail-Bomben als Sicherheitsrisiken

Wenn ein Angriff auf Ihren Rechner derartige Auswirkungen hat, sollten Sie die Behörden kontaktieren. Dies gilt im besonderen, wenn der Angreifer seinen Ursprung variiert und damit Mail-Filter oder Exklusionsschemen am Router-Level umgeht. Wenn sich dieser Angriff beharrlich wiederholt, besteht Ihre einzige Abhilfe wahrscheinlich darin, die Polizei zu kontaktieren.

List- Linking

List- Linking ist eine neuere und hinterhältigere Form der Belästigung. List- Linking bedeutet, dass der Angreifer Sie bei Dutzenden von Mailing- Listen als Abonnent registriert.

E-Mail-Bomben-Pakete automatisieren den List-Linking- Prozess. Zum Beispiel sind Kaboom und Avalanche zwei bekannte E-Mail-Bomben-Pakete, die »Point & Click«-List- Linking bieten. Die Auswirkungen einer solchen Verbindung können katastrophal sein. Die meisten Mailing- Listen produzieren mindestens 50 Mail-Nachrichten täglich, von denen manche binäre Attachments enthalten. Wenn der Angreifer Sie bei 100 Mailing- Listen anmeldet, werden Sie 5.000 E-Mails pro Tag erhalten. Außerdem müssen Sie sich bei jeder Mailing- Liste einzeln manuell wieder abmelden, wenn Sie erst einmal dort registriert sind. Überdies wählen Angreifer oft Zeiten, zu denen Sie nicht anwesend sind, wie beispielsweise Urlaubszeiten. Daher sammeln sich während Ihrer Abwesenheit Tausende von Nachrichten in Ihrer Mailbox. Dies kann zu Denial-of-Service führen, insbesondere wenn Ihr Systemadministrator Quotas auf Mail vergibt.

List- Linking ist besonders hinterhältig, da ein einfacher Mail-Filter das Problem nicht wirklich löst, sondern nur unter den Teppich kehrt, weil Sie solange Mail erhalten werden, bis Sie sich wieder abgemeldet haben. Tatsächlich werden die Nachrichten in der Regel mindestens für 6 Monate kommen. Einige Mailing- Listen verlangen, dass man sein Abonnement alle 6 Monate erneuert. Dies geschieht in der Regel über eine Bestätigungsnachricht an den Listen- Server. In einer solchen Nachricht bitten Sie um Verlängerung der Mitgliedschaft um weitere 6 Monate. Natürlich werden Sie irgendwann aus der Liste gestrichen, wenn Sie keine derartige Bestätigung losschicken. In diesem Fall jedoch haben Sie vor Ablauf der 6 Monate keine Möglichkeit, von der Liste zu kommen. Daher sollten Sie sich mit List- Linking sofort befassen, auch wenn es noch so ärgerlich ist.

Ihre Möglichkeiten, sich schnell und effektiv von allen Listen wieder abzumelden, hängt zu einem großen Teil auch von Ihrem E-Mail-Programm ab. Wenn Ihr E-Mail-Client über mächtige Suchfunktionen verfügt, die es Ihnen ermöglichen, Betreffzeilen und Absenderangaben zu filtern, können Sie die Adressen der Mailing- Listen relativ schnell sammeln. Wenn Sie jedoch einen Mail-Client ohne Suchfunktionen benutzen, stehen Sie vor einem mühsamen Unterfangen. Wenn Sie gerade einen List-Linking- Angriff erlitten haben und einen Mail-Client ohne Suchfunktion haben, sollten Sie sich eine neue E-Mail-Adresse besorgen und die alte löschen. Im Endeffekt wird dies Ihr Problem schneller lösen.

E-Mail-Relaying

Schließlich gibt es noch einen Punkt in bezug auf E-Mails, der viele Systemadministratoren ärgert: E-Mail-Relaying. E-Mail-Relaying heißt, dass Clients, die mit anderen Providern verbunden sind, Ihren Server für E-Mail benutzen. Dies ermöglicht Benutzern mit dynamischer IP- Adresse die Benutzung Ihres Mail-Dienstes (statt nur der Adressen Ihres Subnetzes oder Netzwerks). Daher können Spammer Ihr Mail-System kidnappen und es dazu benutzen, das Internet mit Junk- Mail zu überladen.

Wenn Sie E-Mail-Relaying anbieten, könnten Sie mit diesem Problem konfrontiert werden. Die einzige Lösung ist, IP- Adressen zu filtern und solche von unerwünschten Netzwerken auszuschließen. Dies ist natürlich ein großes Problem, wenn Ihre Kunden beispielsweise AOL benutzen, da Sie dann im Endeffekt 20 Millionen Leute ausschließen müssten.

Die meisten Internet Service Provider weigern sich heutzutage aus genau diesem Grund, Relay-Dienste anzubieten.

Denial- of- Service- Angriffe

Denial- of- Service(DoS)- Attacken sind ganz ähnlich wie E-Mail-Bomben in erster Linie Ärgernisse. DoS- Attacken sind jedoch wesentlich bedrohlicher, besonders wenn Sie ein Unternehmensnetzwerk betreiben oder Internet Service Provider sind. Das kommt daher, dass DoS- Attacken vorübergehend Ihr gesamtes Netzwerk lahm legen können

Die erste bedeutende Denial-of-Service-Attacke war der Morris-Wurm. Schätzungen zufolge waren etwa 5.000 Rechner für einige Stunden betriebsunfähig.

Das Ziel einer DoS- Attacke ist einfach und direkt - Ihre(n) Host(s) vom Netz abzutrennen. Denial-of-Service- Attacken sind immer böswillig, außer wenn Sicherheitsexperten DoS- Attacken gegen ihre eigenen Netzwerke (oder andere vorher bestimmte Hosts) ausführen. Es gibt für niemanden einen legitimen Grund, Ihr Netzwerk zu beeinträchtigen. DoS- Attacken sind nach einer ganzen Reihe von Gesetzen strafbar. Wenn Sie einen Täter finden, der Ihr Netzwerk angreift, sollten Sie die Behörden benachrichtigen. DoS- Attacken sind nicht das Resultat der Arbeit neugieriger Hacker, sondern kriminelle Taten mit feindlicher Absicht.

Wo Sie Denial- of- Service-Attacken finden werden

DoS- Angriffe schlagen am Herzen von IP- Implementierungen zu. Daher können sie auf jeder Plattform stattfinden. Noch schlimmer, da IP- Implementierungen sich von Plattform zu Plattform nicht drastisch unterscheiden, kann eine einzelne DoS- Attacke mehrere Zielbetriebssysteme treffen. (Das Beispiel, das sich hier aufdrängt, ist die LAND-Attacke, die fast zwei Dutzend verschiedene Betriebssysteme beeinträchtigen konnte, darunter Windows NT und einige Unix-Versionen.)

Überdies zeigt die Analyse von DoS- Codes durchgehend, dass selbst wenn eine neue DoS- Attacke zunächst nicht auf allen Plattformen funktioniert, sie dies irgendwann tun wird. Neu entwickelte DoS -Attacken werden etwa alle zwei Wochen herausgegeben. Diese Versionen werden in der Regel auf einer einzelnen Entwicklungsplattform (z.B. Linux) geschrieben, um eine einzelne Zielplattform (z.B. Windows 95) anzugreifen. Nach der Veröffentlichung des entsprechenden Codes wird er von der Hacker- und Crackergemeinde untersucht. Innerhalb von Tagen bringt dann jemand eine geänderte Version (eine sogenannte Mutation) heraus, die eine größere Auswahl an Betriebssystemen beeinträchtigen kann.

Sie sollten DoS- Attacken sehr ernst nehmen. Sie sind gemein und einfach zu implementieren, sogar von Crackern mit wenig Programmiererfahrung. Tools für Denial-of-Service- Attacken sind daher weitverbreitete Waffen, jeder kann sie bekommen und jeder kann sie benutzen.

Noch beunruhigender ist es, dass Polizeibehörden in der Verfolgung von Denial-of-Service- Attacken oft zögern - auch wenn der Täter bekannt ist. Viele Polizeibehörden haben noch nicht begriffen, daß Denial-of-Service eine kritische Sache ist. Werfen wir einen kurzen Blick auf Denial-of-Service- Tools, den Schaden, den sie anrichten können und die Plattformen, die sie beeinträchtigen.

8.6.2 Übersicht über Denial-of-Service-Attacken

Nachstehend finden Sie eine umfassende Übersicht über DoS- Attacken, von denen jede vollständig mit Hilfe folgender Felder beschrieben wird:

Dateiname. Der angegebene Dateiname ist der, unter dem die Attacke am bekanntesten ist. Sie sollten jedoch beachten, dass in dem Maße, in dem Exploit- Codes verteilt werden auch die Dateinamen geändert werden. Es gibt verschiedene Gründe hierfür, aber der wichtigste ist, dass der Exploit- Code vor Systemadministratoren verborgen bleiben soll. Da Systemadministratoren in der Regel die Dateinamen dieser Tools kennen, werden sie von Crackern häufig umbenannt.

Autor. Hier sehen Sie oft Aliase oder E-Mail-Adressen statt richtiger Namen. Ich habe mich sehr darum bemüht, die Namen, E-Mail-Adressen oder Aliase der Original-Autoren zu finden. Wenn Sie eins der nachfolgenden Programme geschrieben haben und es irrtümlicherweise einer anderen Person zugesprochen wurde, kontaktieren Sie bitte den Verlag und lassen Sie es ihn wissen.

URL. Hier finden Sie die Internet-Adresse für den Exploit-Source-Code. Von dieser URL können Sie den Code herunterladen und auf ihrem eigenen Rechner testen.

Hintergrundinformationen. Hier finden Sie URLs, über die Sie weitere Dokumentationen finden können. In der Regel sind das Artikel oder Postings in Mailing-Listen, die die Hauptcharakteristiken der Attacke ausführlich beschreiben.

Entwicklungsbetriebssystem. Dieses Feld beschreibt entweder, auf welcher Plattform der Code geschrieben wurde oder in welchem Betriebssystem der Code erfolgreich laufen kann.

Zielbetriebssystem. Dieses Feld gibt an, welche Plattform mit dem Code erfolgreich angegriffen werden kann.

Auswirkung. Hier finden Sie eine kurze Beschreibung der Auswirkungen der jeweiligen Attacke.

Abhilfe. Dieses Feld gibt Ihnen URLs, unter denen Sie Patches oder Abhilfen finden.

Bekannte DOS- Attacken

Die folgenden Attacken sind gut bekannt und gut dokumentiert. Wenn Sie für die Sicherung eines Netzwerks verantwortlich sind, sollten Sie diese Grundlagen auf jeden Fall kennen. Auch wenn DoS-Attacken nicht sehr schwerwiegend sind, kann es doch peinlich sein, wenn Ihr Netzwerk durch eine solche beeinträchtigt wird. Da Abhilfen verfügbar sind, gibt es keinen Grund, diese nicht anzuwenden. Nehmen Sie sich jetzt einen Moment Zeit und gehen Sie die folgenden Attacken durch, um zu sehen, ob Sie für eine anfällig sind. Den meisten kann auf einfache Art und Weise abgeholfen werden.

Bonk und Boink-Attacken

Auswirkung: Dieses Utility läßt jeden Windows 95- oder NT-Rechner abstürzen und ist im Grunde eine modifizierte Version eines Codes, der früher von Route@infonexus.com geschrieben wurde.

Hanson-Attacke

INETINFO.EXE-Attacke

Auswirkung: Beliebiger Text, der an die Ports 135 und 1031 gesendet wird, läßt den Internet Information Server (IIS) abstürzen.

Jolt

Jolt wurde anscheinend von älteren DoS-Attacken für POSIX- und SYSV-Systeme abgeleitet. Der Autor von Jolt berichtet, daß manche Systeme nach einem Angriff einen blauen Bildschirm zeigen.

Land

Auswirkung: Pakete mit Verbindungsanfragen, in denen der Ursprungs- und der Zielrechner gleich benannt werden, frieren den Zielrechner ein.

Die LAND-Attacke brachte die Internet-Gemeinde zum Zittern, vor allem wegen der hohen Anzahl von betroffenen Systemen und der Tatsache, daß auch bestimmte Hardware-Komponenten der Netzwerke, darunter Router, anfällig waren.

Sie sollten Ihren Hersteller in bezug auf Abhilfen kontaktieren. Möglicherweise dauert es eine Weile, alle LAND-Variationen zu finden, da so viele Mutationen aufgetaucht sind. Eine Version bringt Windows 95 und NT auch bei installiertem Service Pack 3 zum Absturz. Diese Attacke - sie heißt La Tierra - wurde 1997 von Mondo Man ins Internet gesetzt. Da immer wieder neue Variationen auftauchen, sollten Sie regelmäßig bei Ihrem Anbieter nach neuen Patches fragen. Kurzfristige Abhilfen für Cisco Hardware finden Sie unter http://geek-girl.com/bugtraq/1997_4/0356.html. Oder kontaktieren Sie Ihren entsprechenden Hersteller.

Wenn Sie mit Windows 95 arbeiten, holen Sie sich den Patch für die ursprüngliche LAND- Attacke und für einige Mutationen. Diesen Patch finden Sie hier:

Newtear-Attacke

Auswirkungen: Eine neue Variation (Januar 1998) von Teardrop, die in einem blauen Bildschirm resultiert und schließlich den Rechner zum Absturz bringt.

Pong

Auswirkungen: Ziele, die mit unverlangten ICMP-Paketen überflutet werden, stürzen ab.

Puke

Zielbetriebssystem: Alle Betriebssysteme, da der Fehler eine Schwäche im Internet-Protokoll (IP) ist.

Auswirkungen: Ein ICMP-Source-Unreachable führt zum Abbruch bestehender IP-Verbindungen.

Abhilfe: Der Umgang mit ICMP-Source-Unreachable Paketen auf Kernel-Ebene (IP-Stack) kann entsprechend abgeändert werden.

Real Audio-Attacke

Auswirkungen: Bringt den Real Audio-Server zum Absturz und zwingt Sie, den Dienst neu zu starten.

Solaris Land-Attacke

Auswirkungen: Dies ist eine Variation von LAND für Solaris. Sie wird Windows 95-Rechner zum Absturz bringen.

Solaris Telnet-Attacke

Teardrop

Teardrop (und mehrere modifizierte Versionen) beeinträchtigte seit Ende 1997 bis ins erste Quartal 1998 Tausende Server. Windows-basierte Rechner können gegen Teardrop-Attacken geschützt werden. Tabelle 8.3 nennt Ihnen URLs, über die Sie verschiedene Abhilfen gegen Teardrop-Angriffe finden können.

Der Pentium-Bug

Dieses Sicherheitsloch betrifft die meisten Pentium-Prozessoren. Es ermöglicht böswilligen Benutzern mit Zugang die Eingabe von illegalen Befehlen, die den Rechner zum Absturz bringen.

Es ist ein eher ungewöhnlicher Fehler, da er im Chip selbst steckt. Die folgenden Chips sind fehlerhaft:

Nachfolgend finden Sie einen Link zu Intels technischer Übersicht des Problems. Dies nützt Ihnen jedoch nichts. Es ist nahezu unmöglich, daß der Fehler von allein auftaucht. Der einzige Weg, wie Sie ihm zum Opfer fallen können ist über einen böswilligen lokalen Benutzer, der über Programmiererfahrung verfügt.

Es gibt verschiedene Postings und Artikel, die den Fehler auf verschiedenen Betriebssystemen besprechen. Hier sind ein paar:

Winnuke

Winnuke läßt alle Windows 95- oder Windows NT-Rechner ohne Patches abstürzen, sodaß Sie Ihr System neu starten müssen. Diese Attacke hat einige Mutationen durchgemacht und ist jetzt für viele Entwicklungsbetriebssysteme verfügbar.

Die Lösung ist die Anwendung von Patches. Aber es gibt mindestens ein Tool, das Sie benutzen können, um den möglichen Täter zu entdecken und schließlich zu überführen: Nukenabber.

Nukenabber

Nukenabber ist ein kleiner, kompakter Port-Sniffer, der von puppet@earthling.net geschrieben wurde. Das Programm beobachtet die Ports 139, 138, 137, 129 und 53. Über alle diese Ports wurden in der Vergangenheit Denial-of-Service-Attakken implementiert. Nukenabber macht Sie darauf aufmerksam, wenn eine Winnuke-Attacke auf Ihr System erfolgt.

Denial-of-Service-Attacken auf Hardware

In den letzten Monaten wurden einige DoS-Attacken auf Router entwickelt. Dies ist besonders heimtückisch, da Router die zugrundeliegende Routing-Architektur für das Internet formen. Außerdem kann eine Attacke auf einen Router hundert oder mehr Rechner zum Absturz bringen, da ein einzelner Router Gateway-Dienste für ein gesamtes Netzwerk zur Verfügung stellen kann. In einem solchen Fall läuft jeglicher Datenverkehr zunächst über den Router, bevor er irgendeinen Rechner erreicht. Daher erreicht der Angreifer durch das Ausschalten des Routers, daß das gesamte System keine Verbindung mehr zum Netz hat.

Tabelle 1.2 listet die meistverbreitetsten Attacken für Router auf. Alle aufgeführten Attacken führen zu einem Zusammenbruch des Routers. Die URL-Angaben beinhalten den Source- Code und manchmal auch Abhilfen. Da diese Attacken neu sind, gibt es für viele noch keine sofortigen Abhilfen. In einem solchen Fall sollten Sie Ihren Router-Anbieter kontaktieren.

**Tabelle 1.2: Router-Attacken und URLs für Informationen**
Betroffener Router	URL für Source-Code der Attacke und Informationen
3com-Router und -Hubs	http://www.dhp.com/~fyodor/sploits/umount.html
Ascend Max Router	http://www.njh.com/latest/9703/970304-04.html
Cisco 1005	http://www.geek-girl.com/bugtraq/1997_4/0453.html
Cisco 2500	http://www.safesuite.com/lists/general/0252.html
Livingston 1.16	http://www.otol.fi/~jukkao/bugtraq/9804/0105.html
Livingston Portmaster	http://www.angio.net/consult/secadv/AA-1997-09-03.livingston-telnet.final

Motorola CableRouter-Produkte sind ebenfalls anfällig für DoS-Attacken. Die DoS-Attacke kann auf sehr einfache Art und Weise implementiert werden: Der Angreifer startet wiederholte Telnet-Sessions am Ziel. Dies führt zu Speicherverlusten, der Router stellt seinen Betrieb ein.

Die ernstere Sicherheitsschwachstelle besteht allerdings in einem Default-Login und -Paßwort. Um diese Schwachstelle auszunutzen, senden Sie eine Telnet-Anfrage an Port 1024, loggen sich als »cablecom« ein und verwenden »router« als Paßwort. Dies ist eine ernsthafte Sicherheitslücke, die für viele Kabel-Provider ein Risiko darstellt. Wenn Sie Internet-Anbindung über Kabelanschluß vertreiben und Motorola CableRouter-Produkte einsetzen, ändern Sie sofort Ihr Login und Ihr Paßwort.

Andere Denial- of- Service-Tools

Es gibt auch noch andere, ältere DoS-Tools, die Sie kennen sollten, wenn Sie mit älterer Software arbeiten.

Alte chinesische »Ping of Death«-Methode

Diese Attacke ist weithin als »Ping of Death« bekannt. Sie beeinträchtigt hauptsächlich Windows- und Windows NT 3.51-Rechner. »Ping of Death« ist kein Programm, sondern ein einfaches Verfahren, das das Versenden von ungewöhnlich großen ping-Paketen beinhaltet. Wenn der Zielrechner diese großen Pakete bearbeitet, stürzt er ab. Dies zeigt sich in Form eines blauen Bildschirms mit Fehlermeldungen, von denen sich der Rechner nicht erholen kann. Microsoft hat eine Abhilfe für das Problem zur Verfügung gestellt, die Sie im folgenden Wegweiser finden.

SynFlooder

SynFlooder ist ein kleines Utility, das Unix-Server betriebsunfähig machen kann. Das Programm überschwemmt das Ziel mit Verbindungsanfragen. Das Ziel versucht, diese Anfragen zu bearbeiten, bis schließlich die maximale Anzahl der IP-Verbindungen erreicht wird. Dadurch können keine weiteren Verbindungsanfragen bearbeitet werden und der Zielrechner wird seine Dienste vorübergehend einstellen. Schauen Sie sich den Source-Code an unter:

DNSKiller

DNSKiller bringt den DNS-Server eines Windows NT 4.0-Rechners zum Absturz. Der Source-Code wurde für eine Linux-Umgebung geschrieben, kann aber auch auf BSD-Plattformen laufen. Um Ihren Rechner zu prüfen, laden Sie den Source-Code herunter, kompilieren Sie ihn und führen Sie ihn aus:

arnudp100.c

Arnudp100.c ist ein Programm, das UDP-Pakete fälscht und dazu benutzt werden kann, Denial-of-Service-Attacken auf die Ports 7, 13. 19 und 37 zu starten. Um diese Attacke zu verstehen, empfehle ich Ihnen die Lektüre des folgenden Berichts: »Defining Strategies to Protect Against UDP Diagnostic Port Denial of Service Attacks« von Cisco Systems. Eine weitere gute Informationsquelle ist das CERT Advisory CA-96.01.

cbcb.c

cbcb.c ist ein cancelbot, d.h. ein Programm, das auf Usenet News-Postings zielt und diese zerstört. cbcb.c erstellt Cancel-Kontroll-Meldungen für jedes Posting, das Ihren Kriterien entspricht. Sie können Tausende von Usenet News-Nachrichten mit diesem Utility verschwinden lassen. Zwar ist dies keine Denial-of-Service-Attacke im klassischen Sinn, aber ich habe sie trotzdem hier erwähnt, weil sie dem Ziel den Usenet-Dienst verweigert. Direkter gesagt, diese Attacke verweigert dem Ziel sein Recht zur Selbstdarstellung (egal, wie dumm seine Meinung für andere auch sein mag). Erstmals veröffentlicht in dem Online-Zine Phrack, finden Sie den Source-Code hier:

Computerviren

Computerviren sind die gefährlichsten aller destruktiven Programme. Abgesehen von der Tatsache, daß Computerviren in Denial-of-Service resultieren können, zerstören viele Computerviren Daten. Außerdem können manche Viren (allerdings nur sehr wenige) einen Rechner völlig lahmlegen. Aus all diesen Gründen sind Viren einzigartig.

In bezug auf das Internet stellen Computerviren ein ganz besonderes Sicherheitsrisiko dar. Viren sind am gefährlichsten, wenn sie in vernetzte Umgebungen ausgesetzt werden und zu keiner Umgebung paßt diese Beschreibung besser als zum Internet.

Was ist ein Computervirus?

Ein Computervirus ist ein Programm, das sich an Dateien auf dem Zielrechner hängt. Während dieses Vorgangs - der Infizierung - wird der ursprüngliche Code des Virus an die Dateien angefügt. Wenn eine Datei infiziert ist, verwandelt sie sich von einer normalen Datei in einen Virusträger. Von diesem Zeitpunkt an kann die infizierte Datei selbst andere Dateien infizieren. Dieser Vorgang wird Replikation genannt. Durch Replikation können sich Viren über die gesamte Festplatte verbreiten und so zu einer Systeminfizierung führen. Meist gibt es kaum Warnungen, bevor eine solche Systeminfizierung erreicht wird und dann ist es zu spät.

Dateien, die für eine Infizierung durch Computerviren anfällig sind

In den letzten Jahren sind Tausende neuer Computerviren entstanden. Diese sind verschieden programmiert und greifen jede Art von Dateien an. Früher allerdings griffen Viren in erster Linie ausführbare Dateien an.

Hat sich ein Virus an eine ausführbare Datei gehängt, wird diese Datei bei ihrer Ausführung andere Dateien infizieren. Dies ist ein sich wiederholender Prozess und es dauert nicht lang, bis das gesamte System infiziert ist. Denken Sie daran, wie viele ausführbare Dateien jeden Tag auf Ihrem Rechner geladen werden. Jedesmal wenn Sie eine Applikation öffnen, wird mindestens eine ausführbare Datei geladen. Einige Applikationen öffnen beim Starten mehrere Dateien, während andere Applikationen immer dann verschiedene Dateien öffnen, wenn sie bestimmte Arbeitsabläufe durchführen.

Zusätzlich zu den Viren, die ausführbare Dateien befallen, existieren Tausende von Datendatei-Viren. Diese Viren (Makroviren) infizieren Datendateien wie z.B. Dokumente, die in Microsoft Word oder Excel erstellt wurden. Derartige Viren greifen üblicherweise Ihre globale Dokumentvorlage an und beschädigen letztendlich jedes Dokument, das in Word oder Excel geöffnet wird.

Es gibt noch eine dritte Klasse von Dateien, die infiziert werden können: Gerätetreiber- Dateien. (Dies betrifft hauptsächlich ältere Systeme wie z.B. eine DOS/Windows 3.11- Kombination. In diesen Systemen werden Gerätetreiber-Dateien in den hohen Speicherbereich geladen und können hier von Viren befallen werden.)

Wer schreibt Viren und warum?

Jede Gruppe hat etwas unterschiedliche Motive. Junge Leute schreiben Computerviren zum Spaß oder um von sich hören zu machen. Schließlich arbeiten Jugendliche in der Regel nicht als Programmierer, weil sie zu jung sind. Sie benutzen das Schreiben eines Virus als einen Weg, auf ihre Programmierfähigkeiten aufmerksam zu machen.

Sicherheitsspezialisten dagegen schreiben rein beruflich Computerviren. Zum Beispiel werden sie gut bezahlt dafür, Viren zu entwickeln, die besonders schwer zu entdecken und auszulöschen sind. Sicherheits-Teams nehmen sich dann diese Computerviren vor und versuchen, Lösungen zu finden.

Ausländische Entwickler sind für die größte Anzahl von Viren verantwortlich. Es gibt einen faszinierenden Bericht im Internet über die wachsende Zahl von Entwicklungsteams für Computerviren in Osteuropa. Der Bericht beschreibt, wie Computerviren diese Programmiergemeinden im Sturm eroberten. Die Entwicklung von Viren ist zu einem Phänomen geworden. Es wurden sogar Mailbox-Systeme ins Leben gerufen, über die die Entwickler von Viren Ideen und Codes austauschen können. Der Bericht läßt sich gut lesen und gibt Ihnen einen allgemeinen Überblick über die Virenentwicklung in einer nicht-kapitalistischen Umgebung. Er heißt »The Bulgarian and Soviet Virus Factories« und wurde von Vesselin Bontchev geschrieben, dem Direktor des Labors für Computerviren an der Bulgarischen Akademie der Wissenschaften in Sofia, Bulgarien.

Wie werden Computerviren entwickelt?

Viele Programmierer entwickeln Computerviren mit Hilfe von Virus-Bausätzen, das sind Applikationen, die speziell für die Erzeugung von Virus-Code entwickelt wurden. Diese Bausätze werden im Internet in Umlauf gesetzt. Hier sind die Namen einiger dieser Bausätze:

Diese Bausätze sind in der Regel einfach zu benutzen und ermöglichen fast jedem, einen Virus zu entwickeln. (Im Gegensatz zu der »guten, alten Zeit«, als fortgeschrittene Programmierkenntnisse nötig waren.) Dies hat zu einer Steigerung der Anzahl der Computerviren »in the wild« geführt.

In welcher Sprache werden Computerviren geschrieben?

Wenn Sie jemals einen Viruscode gesehen haben, werden Sie bemerkt haben, wie unglaublich klein Viren sind. Klein zumindest für ein Programm, das soviel kann. Es gibt einen guten Grund hierfür. Die meisten Viren werden in Assembler geschrieben. Assembler erzeugt sehr kleine Programme, weil es eine (maschinennahe) Programmiersprache niederer Ebene ist.

Die Klassifizierung einer Programmiersprache als eine »niederer Ebene« oder »hoher Ebene« hängt nur davon ab, wie nah (oder wie weit) diese Sprache sich von der Maschinensprache entfernt. (Maschinensprache ist für den Menschen nicht lesbar und besteht aus numerischen Angaben, meistens 1 oder 0.) Eine Sprache hoher oder mittlerer Ebene beinhaltet die Nutzung von einfachem Englisch und von Mathematik und wird ziemlich genau so ausgedrückt, wie Sie einem menschlichen Wesen etwas erklären würden. BASIC, PASCAL und C gehören alle zu den Programmiersprachen mittlerer Ebene: Sie können dem Rechner »sagen«, was jede Funktion ist, was sie tut und wie sie das tut.

Assembler dagegen ist nur einen Schritt von der Maschinensprache entfernt. Da es auf so direkte Art und Weise mit der Hardware des Rechners kommuniziert, sind die resultierenden Programme sehr klein. (Anders gesagt ist der Übersetzungsprozeß minimal. Hier liegt ein großer Unterschied zu C, wo umfangreiche Übersetzungen vorgenommen werden müssen, um das einfache Englisch in maschinenlesbaren Code umzuwandeln. Je weniger Übersetzung, umso kleiner ist die resultierende Binärdatei.)

Wie arbeiten Viren?

Die meisten Viren arbeiten auf ähnliche Weise wie Terminate-And-Stay-Resident-Programme : Sie sind immer aktiv und lauschen auf Aktivitäten im System. Wenn eine Aktivität einem bestimmten Kriterium entspricht (beispielsweise das Ausführen einer ausführbaren Datei), erwacht der Virus zum Leben und hängt sich an das aktive Programm.

Am leichtesten läßt sich dieser Prozeß mit Hilfe der Master-Boot-Record-Viren darstellen.

Master- Boot-Record- Viren

Festplattentreiber benutzen Daten, die im Master-Boot-Record (MBR) gespeichert sind, um grundlegende Boot-Prozesse durchzuführen. Der MBR befindet sich am Zylinder 0, Kopf 0, Sektor 1 (oder logische Blockadresse (LBA) 0. LBA-Methoden der Adressierung unterscheiden sich etwas von konventioneller Adressierung; Sektor 1 = LBA 0.)

Für so einen kleinen Teil der Festplatte hat der MBR eine sehr wichtige Aufgabe: Er erklärt jedem Programm die Eigenschaften der Festplatte. Dafür speichert der MBR Informationen in bezug auf die Struktur der Festplatte. Diese Informationen werden Partitionstabelle genannt.

Wenn ein Rechner bootet, geht er davon aus, daß die CMOS-Einstellungen korrekt sind. Diese Werte werden gelesen und überprüft. Wenn der Rechner merkt, daß die Größe der Festplatte 1 GB beträgt, die BIOS-Einstellungen aber 500 MB angeben, wird der Rechner nicht booten, sondern eine Fehlermeldung generieren. Auf ganz ähnliche Art und Weise wird das RAM in Hinsicht auf ungültige Speicheradressen überprüft. Wenn keine Fehlermeldungen erfolgen, wird schließlich der eigentliche Boot-Prozess gestartet. An diesem Punkt übernimmt der MBR das Ruder und die Festplatte bootet. Eine kritische Situation kann sich entwickeln, wenn ein Virus den Boot-Sektor infiziert hat.

Spezialisten von McAfee, dem führenden Anbieter für Anti-Virus-Lösungen, erklären:

MBR-Viren sind besonders gemein, weil sie immer, wenn Ihr Rechner auf Disketten zugreift, diese infizieren. Daher werden MBR-Viren so oft »in the wild« gesehen - weil sie Disketten infizieren, können sie sehr leicht von Rechner zu Rechner weitergegeben werden.

Nehmen Sie für den Augenblick an, daß Sie einen »sauberen« MBR haben. Wie kann es einem Virus gelingen, ihn zu infizieren? Die Infizierung erfolgt, wenn Sie mit einer infizierten Diskette booten. Betrachten Sie folgende Situation: Sie entscheiden, daß Sie ein neues Betriebssystem auf Ihre Festplatte laden wollen. Dafür benutzen Sie eine Boot-Diskette (diese Boot-Diskette beinhaltet eine kleine Boot-Routine, die Sie durch die Installation führt).

Während des Boot-Prozesses lädt sich der Virus in den Speicher. (In der Regel jedoch nicht in den hohen Speicherbereich. Tatsächlich gibt es nur sehr wenige Viren, die bekannt dafür sind, sich im hohen Speicherbereich aufzuhalten. Wenn es einer tut, ist es meist, weil er seinen Weg dorthin »huckepack« genommen hat - er hat sich an eine ausführbare Datei oder einen Treiber gehängt, die bzw. der immer hoch geladen wird.)

Einmal in den Speicher geladen liest der Virus die MBR Partitions-Informationen. In einigen Fällen hat der Virus-Programmierer eine Routine hinzugefügt, die frühere Infizierungen des MBR überprüft. (Es prüft nicht nur Infizierungen durch seinen eigenen Virus, sondern auch solche durch andere Viren. Dies Vorgehensweise ist meist auf einige wenige andere Viren beschränkt, da der Programmierer Ressourcen sparen will. Ein Virus, der vor seiner Installation eine Infizierung von vielen anderen Viren überprüft, wäre größer, einfacher zu entdekken, schwerer zu übertragen usw.) Der Virus ersetzt dann die MBR-Informationen durch seine eigene, modifizierte Version. Der Infizierungsprozess ist abgeschlossen.

Die meisten Viren zerstören eigentlich keine Daten, sondern infizieren nur Festplatten, Disketten oder Dateien. Es gibt jedoch viele Fälle, in denen eine Infizierung ausreicht, um Dienste zu unterbrechen. So arbeiten beispielsweise manche Treiber fehlerhaft, wenn sie infiziert sind. Das heißt allerdings nicht, daß es nicht auch destruktive Viren gibt.

Berichten zufolge wurde 1986 der erste Virus »in the wild« entdeckt. Er wurde Brain-Virus genannt. Nach der CIAC Virus-Datenbank des U.S. Department of Energy war der Brain- Virus ein speicherresidenter Boot-Sektor-Virus:

Das folgende Jahr brachte verschiedene Viren mit sich, darunter einige, die wirklich Schaden anrichteten. Der Merrit-Virus (entdeckt im Jahre 1987) konnte die Dateizuordnungstabelle auf einer Diskette zerstören. Dieser Virus durchlief einige Entwicklungsphasen, die gefährlichste war eine Version namens Golden Gate. Golden Gate konnte angeblich das Festplattenlaufwerk umformatieren.

Seit dieser Zeit haben Neuerungen in der Virustechnologie die Schöpfungen zunehmend komplexer werden lassen. Dies hat zu Klassifizierungen geführt. Es gibt im Grunde genommen drei Arten von Viren:

Der einzige materielle Unterschied zwischen dem ersten Typ und den vielen Variationen der Boot-Sektor-Viren ist, daß Boot-Sektor-Viren auf Disketten zielen. Dateiviren dagegen sind verschieden. Im Gegensatz zu den Boot-Sektor-Viren, die nur einen kleinen Teil der Festplatte oder Diskette angreifen, können sich Dateiviren auf das gesamte System ausbreiten.

Dateiviren infizieren meistens nur eine spezielle Art von Dateien - in der Regel ausführbare Dateien.


.COM

und


.EXE

-Dateien sind ein gutes Beispiel. Dateiviren beschränken sich allerdings nicht nur auf ausführbare Dateien. Einige infizieren Overlaydateien (.OVL) oder Systemtreiber-Dateien (.SYS,


.DRV

Schätzungen zufolge gibt es derzeit mehr als 7.000 Dateiviren allein für die DOS-Plattform. Sie können sich denken, daß die Entwickler von Computerviren wild darauf sind, Dateiviren zu schreiben, da diese sich sehr weit verbreiten können. Innerhalb von 10 Tagen kann ein Dateivirus die meisten (vielleicht sogar alle) ausführbaren Dateien auf einem Computersystem infizieren. Das liegt an der Art und Weise, in der Dateiviren arbeiten.

Unter Normalbetrieb (auf einem nichtinfizierten Rechner) wird ein Befehl ohne besondere Vorkommnisse ausgeführt und in den Speicher geladen. Wenn sich ein Dateivirus auf dem Rechner befindet, wird der Prozess jedoch komplizierter, weil der Dateivirus den Aufruf aufhält.

Nach Infizierung der Programmdatei gibt der Virus die Kontrolle über das System wieder auf und überläßt dem Betriebssystem die Zügel. Das Betriebssystem lädt dann die infizierte Datei in den Speicher. Dieser Prozess wird für jede Datei, die in den Systemspeicher geladen wird, wiederholt. Halten Sie einen Moment inne und denken Sie nach. Wie viele Dateien werden im Laufe eines Arbeitstages in den Speicher geladen? Das ist die Art und Weise, in der Dateiviren schließlich eine Infizierung des gesamten Systems erreichen.

Zusätzlich zu den Klassifizierungen von Viren gibt es auch noch verschiedene Virentypen. Diese Typen werden abgeleitet von der Arbeitsweise des Virus oder von den Programmiertechniken, mit deren Hilfe der Virus erstellt wurde. Hier sind zwei Beispiele:

Virustechnologie wird immer komplexer, was zum größten Teil an der Anzahl der neu entdeckten Viren liegt. Die Chancen, daß Sie sich über das Internet einen Virus einfangen, sind gering, aber es ist nicht vollkommen ausgeschlossen. Es hängt davon ab, wo Sie hingehen. Wenn Sie die Hintergassen des Internet frequentieren, sollten Sie beim Herunterladen von Dateien (mit digitaler Unterschrift oder ohne) Vorsicht walten lassen. In Usenet Newsgroups könnten Viren gefunden werden, insbesondere in solchen Newsgruppen, in denen »heiße« oder beschränkte Materialien gehandelt werden. Beispiele für solche Materialien sind warez (Raubkopien von Software) oder Pornographie. Ich möchte Sie eingehend davor warnen, jegliche archivierte oder zip-Dateien aus entsprechenden Newsgroups herunterzuladen. Ebenso suspekt sind Newsgroups, die Cracking-Utilities verbreiten.

Wenn Sie ein Systemverwalter sind, habe ich einen anderen Rat. Zunächst ist es richtig, dass die meisten Viren für IBM-kompatible Plattformen geschrieben wurden - insbesondere für Plattformen, auf denen DOS, Windows, Windows NT und Windows 95 laufen. Wenn Ihr Netzwerk aus Rechnern mit diesen Betriebssystemen besteht und Sie außerdem Ihren Benutzern Zugang zum Internet ermöglichen, haben Sie ein Problem.

Es gibt keinen zuverlässigen Weg, die Art der Daten, die Ihre Benutzer herunterladen, einzuschränken. Sie können Richtlinien herausgeben, die jegliches Herunterladen verbieten, aber Ihre Benutzer werden wahrscheinlich trotzdem die ein oder andere Datei herunterladen. Das liegt einfach in der menschlichen Natur. Ich empfehle Ihnen daher, dass Sie einen speicherresidenten Virus-Scanner auf allen Rechnern Ihres Netzwerks laufen lassen, und zwar 24 Stunden am Tag. (Am Ende dieses Abschnitts finden Sie einige Quellen, über die Sie solche Produkte erhalten können.)

Um mehr über die Arbeitsweise von Viren zu lernen, sollten Sie einige Zeit in einer Virusdatenbank im Internet verbringen. Es gibt einige dieser Datenbanken, die umfassende Informationen über bekannte Viren bieten. Die umfassendste und nützlichste Website, die ich jemals zu diesem Thema gesehen habe, ist die des Department of Energy.

Die Liste ist alphabetisch geordnet, Sie können aber auch nach Plattformen suchen. Sie werden sofort sehen, daß die meisten Viren für Microsoft-Plattformen geschrieben wurden und davon die meisten für DOS. Was Sie nicht sehen werden, sind bekannte Unix-Viren »in the wild«. Aber vielleicht gibt es ja derartige Informationen bis zu dem Zeitpunkt, zu dem Sie dieses Buch lesen. Es gibt Gerede im Internet über einen Virus für die Linux- Plattform, der Bliss genannt wird.

Ich möchte noch erklären, warum die meisten Viren für PC-Plattformen und nicht für z.B. Unix geschrieben werden. In Unix (und Windows NT) stehen umfangreiche Kontrollmechanismen für den Zugang zu Dateien zur Verfügung. Einschränkungen können auf Dateien gelegt werden, so dass Benutzer A auf diese Datei zugreifen kann und Benutzer B nicht. Wegen dieses Phänomens (Zugangskontrolle genannt), würden Viren in einer solchen Umgebung nicht weit kommen. Sie könnten beispielsweise keine Infizierung des gesamten Systems erreichen.

Auf alle Fälle stellen Viren ein Risiko im Internet dar. Offensichtlich ist dieses Risiko für DOS- oder Windows-Anwender höher. Es gibt aber einige Tools, um Ihr System vor den Auswirkungen einer Virus-Infizierung zu schützen.

Zusammenfassung

Destruktive Programme sind nicht nur für diejenigen von Bedeutung, die im Internet Informationen zur Verfügung stellen, sondern für alle Benutzer. Viele Leute können es nicht nachvollziehen, warum jemand solche Programme entwickelt, vor allem da Daten heutzutage so wichtig geworden sind. Dies ist eine Frage, die nur Virenschreiber beantworten können. Auf alle Fälle sollte jeder Anwender (insbesondere Internetbenutzer) zumindest grundlegendes über destruktive Programme wissen. Es ist sehr wahrscheinlich, daß Sie irgendwann auf ein solches Programm treffen. Aus diesem Grund sollten Sie eine der wichtigsten Regeln für das Arbeiten mit Computern befolgen - erstellen Sie oft Backups. Wenn Sie dies nicht tun, werden Sie später möglicherweise Konsequenzen tragen müssen.