Hauptseminar: Analyse von Softwarefehlern - WS 2002/03

Bearbeiter: Al-Salmani Mohamad, Sheng Guo, Tran Minh-Luan

Thema: Sicherheitsrisikos

-Sicherheitslücken im Bewusstsein der Öffentlichkeit

-Sicherheitslücken in Betriebssystemen

-Hacker-Angriffe (Denial of Service)

-Viren

-Datenverlust durch unordentliches Backup

 

 

Sicherheitslücken im Bewusstsein der öffentlichkeit

Aktuelle Erfahrungen mit Hacker-Angriffen

    Wie sicher fühlen Sie sich?

    1. Fast 90 Prozent der Unternehmen haben 2001 unangenehme Erfahrungen mit Internet-Würmern, Viren oder Trojanern gemacht,
    2. 40 Prozent mussten DoS-Attacken über sich ergehen lassen.
    3. Rund ein Drittel der befragten Firmen wurde Opfer von Angriffen, bei denen Angreifer Buffer- Overflow-Schwächen ausnutzten
      zum Anfang

Ursachen für die Gefahr durch Angriffe

Information Security Policy, Integris AG Wien, www.integris-austria.at

Tausende sind jeden Tag online, sei es geschäftlich oder privat. Dieses Phänomen wird im allgemeinen Internet-Explosion genannt und hat die Zusammensetzung des Internet drastisch geändert. Vor einem Jahrzehnt wurden die meisten Server von Personal gewartet, das zumindest über ein Basiswissen zum Thema Sicherheit verfügte. Diese Tatsache verhinderte unerlaubte Zugriffe natürlich nicht völlig, aber in Proportion zu der Anzahl der potentiellen Ziele kamen sie nur selten vor. Heute werden Web-Server meist von ganz normalen Leuten gewartet, von denen viele nur wenig Erfahrung im Sicherheitsbereich haben. Die Zahl der potentiellen Ziele ist überwältigend und wächst täglich. Doch trotz dieser kritischen Situation treiben Geschäftsleute die Bürger weiter voran. Sie behaupten, das Internet sei sicher, man brauche sich keinerlei Sorgen zu machen. Ist das richtige Nein. Marketing-Leute lügen wie gedruckt. Entweder das, oder sie haben keine Ahnung, wovon sie reden. Die Wahrheit ist, das Internet ist nicht sicher, auch nicht ansatzweise. Die Situation wird noch durch die Tatsache verschlimmert, dass auch die Autoritäten der Computer-Industrie dazu beitragen, die öffentlichkeit einzunebeln. Sie preisen ihre jeweiligen Sicherheitsprodukte als einzigartig an und geben damit Otto Normalverbraucher zu verstehen, dass alles in schönster Ordnung ist. Aber die Realität ist eine andere: Jeden Monat knacken Hacker oder Cracker einen weiteren Sicherheitsmechanismus, der als Industrie- Standard gilt.

zum Anfang

Arten der Sicherheitsgefahren:

Externe Gefahren:

-Viren, Würmer, usw
-Denial of Service (DoS) Angriff
-Eindringen und Verunstaltung der Website
-Eindringen und Verlust an Vertraulichkeit an die Konkurrenz
-Eindringen, Verlust an Vertraulichkeit durch Veröffentlichung im Internet (Kreditkarten)

Interne Gefahren:

-Hardwareausfall, Softwarefehler, Systeminstabilitäten, Feuer, Wasser, usw.
-Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) leiten Information weiter
-Unzufriedene Mitarbeiter (oder Ex-Mitarbeiter) führen Sabotage durch
-Aussteigende Mitarbeiter sammeln Informationen für den neuen Arbeitgeber

Reaktionen auf Sicherheitslücken

(Tabelle Integris S.4 Tabelle selber)

In der folgenden Grafik wird dargestellt, wie aktuelle Firmen ihr Sicherheitsbudget auf einzelne Teilbereiche verteilen.

Information Security Policy, Integris AG Wien, www.integris-austria.at

-Information Security Policy: hier wird von der Geschäftsleitung ermittelt, welcher Sicherheitsbedarf nötig ist, welcher Sicherheitsbedarf erreichbar ist und die Grundsätze werden im ganzen Unternehmen als Richtlinien für die detailliertere Implementation festgelegt.

Quellen

zum Anfang

Sicherheitslücken in Betriebssystemen

Unix

Die unzähligen, von Hackern über die Jahre entwickelten Methoden in Unix-Systeme einzubrechen, können grundsätzlich in drei Kategorien unterteilt werden:

  1. Account und Passwortangriffe
  2. Unix-Netzwerkangriffe
  3. Angriffe unter Ausnutzung von Unix-Anwendungen

Aufgrund Ihrer in letztere Zeit stark gewachsenen Bedeutung wird zusätzlich noch eine vierte Gruppe von Angriffsmethoden , die der Sabotageangriffe, eingeführt. Die Erfahrung zeigt, dass nur durch die intensive Beschäftigung mit den diversen Hackermethoden ein tieferes Verständis für die jeweiligen Bedrohungsszenarien entwickelt werden kann. Aufbauend auf dieses Wissen, kann dann systematisch das eigene System gesichert werden.

zum Anfang

1. Account- und Passwortangriffe

Die häufigste Ursache für erfolgreiche Einbrüche in Computersysteme liegt im Versagen des Mechanismus für die Zugangsberechtigung (Authentifikation). Die Schlüsselrolle aller Authentifikationssysteme spielt dabei die Methode, mit der die Identität eines Benutzers und damit verbunden die Nutzungsrechte, die ihm zugeordnet sind, überprüft werden (Autorisierung plus Identifikation gleich Authenfikation).

Die am weitesten verbreitete Methode der Benutzeridentifikationen basiert auf Passwörtern, die während des Anmeldvorganges eingegeben werden. Dem Computersystem selbst müssen die betreffenden Kennwörter natürlich ebenfalls bekannt sein. Im Fall von Unix werden diese Daten verschlüsselt nach dem DES-Algorithmus in der Datei passwd abgelegt. Um in den Besitz von Unix-Passwörtern zu kommen, werden von Angreifern 5 verschiedene Strategien angewandt:

1.1. Erraten des Passwortes

Hier wird meist von bekannten oder häufigen Zugangskennungen (Logins) wie z.B. administrator, guest, etc. ausgegangen und versucht, das dazu passende Passwort zu erraten. Mehrere Studien haben gezeigt, dass viele Benutzer von Computersystemen dazu neigen, ausserordentlich leicht zu erratende Passworte auszuwählen, da diese auch leicht behalten werden können. Eine Untersuchung in grossen Industrieunternehmen ergab, dass 10% aller Benutzer ihrer Vornamen als Passwort verwenden.

1.2. Systematisches Passwortraten

Die Methode des systematischen Passwortratens setzt vorraus, dass der Angreifer in der Lage ist, in Besitz einer Kopie der Passwortdatei passwd zu gelangen. Die Passworteinträge in dieser Datei sind zwar mit Hilfe des theoretisch leistungsfähigen DES-Algorithmus kodiert, in der Realität können jedoch mit Hilfe spezieller Rateprogramme zumindest ein Teil der Passwörter in kurzer Zeit enttarnt werden.

1.3. siehe Kapitel Hacking

1.4. Login/Password- Monitoring

Eine weitere äusserst gefährliche Einbruchsvariante besteht in der Installation von kleinen Programmen im Hauptspeicherbereich, sog. TSRs (Terminal Resident Programms), die im Hintergrund laufend jede Tastatureingabe überwachen und Zeichenfolgen wie Login...... oder passw..... abspeichern. Wenn der Eindringling später diese Datei mit den erbeuteten Zugangskennungen abholt, kann er leicht in das System eindringen.

zum Anfang

2. Unix-Netzwerkangriffe

Bei unsachgemässer Installation und Nutzung von Diensten und Protokollen (FTP, NFS, SMTP, TELNET etc. ) kann ein erhebliches Sicherheitsrisiko entstehen. Tatsächlich bauen die meisten Angriffe gegen Unix-Systeme auf der Ausnutzung von Schwächen des Datentransportsystems auf.

Beispiel: Angriffe via rlogin und rsh

Die Remote-Dienste der diversen Unix-Implementationen (rlogin ) und Remote-Shell (rsh) sind ausserordentlich kritisch. Benutzer können unter Angabe von hostname und Benutzeridentifikation auch ohen Eingabe eines Passwortes innerhalb dieses Systempools auf jeden anderen Computer zugreifen. Die Applikation rsh umgeht den Loginvorgang vollständig und führt Befehle unmittlerbar auf dem Zielsystem aus.

zum Anfang

3. Angriffe unter Ausnutzung von Unix-Anwendungen

Da zu jeder Unix-Anwendung verschiedene Angriffstechniken existieren, wird hier auf folgende Bücher verwiesen:

zum Anfang

Windows NT

Die Sicherheitsarchitektur von Windows NT besteht hauptsächlich aus den 3 Komponenten:

Sämtliche Konfigurationsdaten, Benutzer- und Zugriffsrechte und Systemeinstellungen werden unter Windows NT in der zentralen Datenbank, der Registry, gespeichert. Informationen werden dabei in Form von Einträgen (Keys) gesichert.

Die Angriffsmethoden auf Windows NT-Systeme können untergliedert werden in:

  1. Account- und Passwortangriffe
  2. Windows NT-Netzwerkangriffe
  3. Angriffe unter Ausnutzung von NT-Anwendungen
  4. NT-Sabotage-Angriffe

1. Account- und Passwortangriffe

Bei dieser Angriffsart wird versucht, den Authentifikationsmechanismus zu täuschen, zu umgehen oder ausser Kraft zu setzen.

Eine korrupte Anfrage beim LSA-Service kann durch einen lokalen Angreifer genutzt werden um den Computer aufhängen zu lassen.Lediglich ein Neustart des Computers führt zu einem Normalzustand des Hosts. Der Grund für das Bestehen dieses Fehlers liegt darin, dass dubiose API-Aufrufe durch den LSA-Service nicht immer korrekt gehandhabt werden können. Microsoft hat mit einem Patch reagiert. Mehr Informationen zu diesem Angriff findet sich unter

http://support.microsoft.com/support/kb/articles/Q231/4/57.ASP.

Beim Login-Vorgang jedes Benutzers erzeugt Windows NT ein Token, das später zur Identifikation dieses Benutzers verwendet wird. Jedes Token besteht dabei aus:

Jeder vom Benutzer gestartete Prozess wird dabei mit dem Token assoziiert (Prozess+Token=Subjekt). Wenn ein solches Subjekt einen Zugriff auf ein Objekt (Datei, Verzeichnis...) versucht, so wird der Token des Subjekts mit der Access Control Liste (ACL) des Objects verglichen und entschieden, ob ein Zugriff zulässig ist.
Die eigentliche Passwortdatei unter Windows NT ist \SYSTEM32\CONFIG\SAM, jedes Passwort wird in zwei Hash-Funktionen kodiert abgelegt: als NT-Passwort nach dem MD4-Verfahren und als LAN-Manager-Passwort mit einer dreifachen DES-Verschlüsselung.

1.1. Passwortraten

Die Accounts administrator und guest sind nach der Installation von Windows NT standardmässig ohne Passwort vorhanden. Werden diese nicht gelöscht oder per Passwort geschützt, so kann jeder ohne Passwort lokale Administrator-Zugriffsrechte erlangen. Auch einfaches Umbenennen des Administrator-Accounts ohne ein Passwort zu setzen ist ungenügend; mit dem Befehl NBTSTAT -A xxx.xxx.xxx.xxx (IP der Administrator-Station) kann der Name ohne Probleme ermittelt werden.

1.2. NT Password Cracking-Angriffe

Besitzt der Angreifer die Passwortdatei SAM, so können die darin enthaltenen Benutzer und deren Passwörter entschlüsselt werden. Häufig werden Dictionary-Passwort-Cracker eingesetzt: hier werden die Einträge der SAM-Datei mit Wortlisten verglichen, die nach denselben Algorithmen wie die NT-Passwörter codiert sind, bis eine Übereinstimmung erfolgt.

1.3. GetAdmin.exe-Angriffe

Mit diesem Programm (nicht von WinNT) kann ein Benutzer in der Administrator-Gruppe angelegt werden, ohne Administratorrechte besitzen zu müssen. Dabei benutzt GetAdmin einen Fehler in der NT-Subfunktion NtAddAtom, bei der die Zieladresse des Outputs nicht überprüft wird (ab Service-Pack 4 wurde dies von Microsoft behoben).

1.4. Registry-Angriffe

Hier werden in der Registry gezielt die ACLs modifiziert, um Benutzerrechte zu verfälschen. Dies kann sowohl lokal (Datei-/Verzeichnisangriff) als auch remote (siehe Netzwerkangriffe) geschehen.

1.5. NTFS-Angriffe

Bei dieser Methode wird versucht, Zugriff auf die Verzeichnisstruktur eines Windows NT-Systems zu erhalten. Dabei wird mit einer Bootdiskette die Administratorstation gebootet

zum Anfang

2. Windows NT-Netzwerkangriffe

Windows NT unterstützt eine Vielzahl von Netzwerkprotokollen und Diensten, nicht wenige NT Systemfunktionen benutzen ausserdem die in NT integrierten Protokolle RPC (Remote Procedure Call) und SMB, um einige Netzwerkfunktionen zu implementieren.

2.1. SMB-Angriffe

SMB organisiert die gemeinsame Nutzung von Dateien und Druckern. Jedoch kann durch SMB auch auf die Einträge der Registry zugegriffen und Systemkonfigurationen sowie Zugriffsrechte modifiziert werden. Ein besonderer Angriff, das SMB-Hijacking, kann sogar eine SMB-Sitzung des Administrators oder jedes beliebiegn Benutzers vortäuschen.

2.2. RPC-Angriffe

Viele Programme nutzen die RPC-Dienste, um auf anderer NT-Systeme zuzugreifen. RPCs können über NetBios, SMB oder TCP/IP ablaufen. Von Microsoft ist nicht vollständig dokumentiert, welche Anwendungen wie auf RPCs zugreifen.
Wird z.B. eine Telnet-Session gestartet, 10-20 beliebige Zeichen eingegeben und die Verbindung unterbrochen, dann wird die CPU ausgelastet und der Prozess mit dem RPC belegt alle Prozesszyklen. Da der RPC-Prozess unter NT nicht gestoppt werden kann, muss das gesamte System neu gebootet werden (Service Pack 2 enthält einen Bugfix).

2.3. Red-Button-Angriff

Durch den Red-Button-Bug kann über das Netzwerk auf die Registry zugegriffen werden. Der Fehler wird durch den in NT einge bauten, internen Benutzer anonymous verursacht, der normalerweise zur Kommunikation zwischen Computern verwendet wird.
Dieser ist darüberhinaus Mitglied der Benutzergruppe "Everyone", sodass Folgendes möglich wird:

Der Name Red-Button kommt von einer Software, die Sicherheitsberater im Internet zur Demonstartion dieses Fehlers verbreiteten.

2.4. DLL-Angriffe

Bei dieser Angriffsart werden bestimmte System-Dateien durch trojanisierte Versionen ersetzt, um indirekt in das System zu dringen. Auf diese Weise können z.B Benutzernamen und deren Passwörter ermittlet werden.

Angriffe unter Ausnutzung von NT-Anwendungen

Applikationen mit Makrosprachen (WinWord, Access, Excel usw.), die Dateiein-/ausgabe und Win32API-Aufrufe besitzen, können missbraucht werden. Teilweise können solche Funktionen automatisch beim Aufruf von Dateien erfolgen, ein Grund, weswegen die Zahl der Makroviren hoch ist.
Jedoch haben zahlreiche NT-Anwendungen Programmfehler, die für Angriffe auf ein bestimmtes System missbraucht werden, dazu gehören: Internet-Explorer, MS-Internet Information Server, MS-Exchange, MS-Access, MS-Office, Front-Page, Norton Utilities.
Die Angrifftechniken nutzen gezielt Programmschwächen, z.B. wird die Unfähigkeit von MS-Exchange, unzulässig lange SMTP- Nachrichten zu verarbeiten, zum Absturz des Mail-Clienten verwendet.

NT-Sabotage-Angriffe

Ping of Death, SYN-Flooding-Angriff, CPU-Angriffe, SMB Crashes siehe Kapitel "Hacking"

zum Anfang

Beispiele:

Quellen

Links

zum Anfang

Hacker-Angriffe (Denial of Service)

1. Einführung

Denial of Service ist ein Synonym für die Kunst bzw. den Unsinn des Verhinderns eines Zugriffs oder Nutzens eines Computers oder eines davon zur Verfügung gestellten Dienstes. Denial of Service bedeutet soviel wie etwas unzuganglich machen, oder ausser Betrieb setzen, was in manchen Fällen für legitime Benutzer von Wichtigkeit sein kann. Diese Attacken nutzen immer Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementationen von Protokollen aus, um die angegriffenen Systeme zum Absturz zu bringen, oder derartig zu überlasten, daß diese Systeme ihre eigentliche Funktionalität nicht mehr erbringen können. Reine DoS-Angriffe haben also nicht das Ziel, vertrauliche Daten zu stehlen oder Benutzer-Authentisierungs-Mechanismen zu umgehen, sondern Diensteanbieter lahm zu legen.

zum Anfang

2. Verschiedene Ansätze

2.1. Belegung der Bandbreite

Leute mit einer langsamen Netzanbindung (z.B. Privatpersonen mit einem 56k-Modem) laufen Gefahr in ihrer Arbeitsweise negativ beeinträchtigt zu werden. Ein Besitzer einer T3-Standleitung wird ohne Probleme die Dial-Up-Verbindung seines Opfers so krass überfluten können, dass durch diese enorme Auslastung kein effizientes Arbeiten des Opfers über sein Modem mehr möglich ist.

2.2. Ressourcen aufbrauchen

Das Aufbrauchen der Bandbreite zielt auf das überlasten der Netzwerkressourcen ab - Das Aufbrauchen der Ressourcen hingegen auf das überlasten der Systemressourcen. Im Allgemeinen unterscheidet man hierbei zwischen Attacken auf die CPU-, Speicher- und Festplatten-Auslastung. In den meisten Fällen wird dem Angreifer ein gewisses Mass dieser Ressourcen zugeschrieben, die er dann hemmungslos für sein destruktives Treiben missbraucht. Dadurch können wichtige Teile des Systems den rechtmässigen Benutzern entzogen oder das Nutzen derer verhindert werden. Meistens gipfeln solche Angriffe darin, dass das System oder einzelne Komponente temporär unbrauchbar werden, da ein Absturz oder Einfrieren eintritt.

2.3. Programmierfehler ausnutzen

Als Programmierfehler bezeichnet man den Zustand der unfähigen Verarbeitung einer Eingabe. Dies kann eine Anwendung, das Betriebssystem oder ein Mikrochip betreffen. Solche Ausnahmebedingungen entstehen in der Regeln auf der Netzwerkebene bei der übergabe von nicht RFC-konformen Paketen. Anwendungsprogramme dagegen reagieren typischerweise allergisch auf übertrieben lange oder kuriose Eingaben. Programmierfehler zudem meist für den Angreifer sehr konstruktiv genutzt warden.

zum Anfang

3. Spezifische Angriffstypen

3.1. ICMP-Stürme

Smurf

Wenn man auf eine Broadcastadresse einen Ping schickt, erzeugt dieser je nach antwortendem Rechner eine beachtliche Anzahl an Antworten. Der Trick besteht darin, die Absenderadresse zu fälschen, so dass das Opfer die Antworten erhält. Sendet man nun rund 1'000 Pakete pro Sekunde, und 1'000 Rechner antworten darauf, bedeutet dies also, dass 1'000'000 Pakete pro Sekunde beim Opfer eintreffen. Die verursacht einen solchen Traffic, dass der Rechner des Opfers unter dem enormen Verkehr zusammenbricht. Dieses Problem war unter dem Namen "ICMP Storm" schon länger bekannt, gewann jedoch erst durch das im Oktober 1997 erscheinende Tool smurf.c an Bedeutung für Datenreisende, welches Nachzügler mit Exploits wie papasmurf.c hervorbrachte. Es wurde sogar ein Nachfolger des Originals mit der Versionsnummer 4 publiziert.
Das UNIX-Programm broadscan.c kann durch Angreifern genutzt werden, um möglichst potente Broadcastadressen zu finden.

Smurf: Gegenmassnahmen

Zahlreiche Provider wurden durch solche Attacken tagelang arg bedrängt. Dieses Problem lässt sich jedoch durch einen einfachen Trick beheben, indem man an den Routern die IP-Broadcasts nicht mehr in Ethernet-Broadcasts umsetzen lässt, und jene somit Aussen vor bleiben. Das Tool SmurfLogger erkennt Smurf-Attacken, und welche Broadcastsadressen missbräuchlich genutzt werden. Auch ICMP Watch aus dem 7th Sphere-Paket kann aufschlussreich über verdächtige ICMP-Aktivitäten informieren:


ICMP Watch aus dem Paket von 7th Sphere überwacht die ICMP-Aktivitäten

Die TCP/IP-Protokollarchitektur ist bei ihrer Konzipierung und Realisierung nicht mit dem Hintergedanken solcher Extremsituationen vorgelegt worden. Aus diesem Grund kann protokolltechnisch nicht viel den besagten Problemen entgegengehalten werden. Lediglich eine durchdachte Netzstruktur (gut platzierte Router, Hubs, Switches und Firewall-Systeme) kann das Problem ganz oder wenigstens teilweise einschränken.

zum Anfang

3.2. SYN-Flooding

TCP-Verbindungen werden nach einem Drei-Wege-Handshake aufgebaut, indem zuerst ein SYN-Pakete gesendet wird, darauf mit einem SYN/ACK-Paket geantwortet wird, und anschliessend die Bestätigung mittels eines ACK Bestätigung findet. Nun besteht die SYN-Flood-Attacke daraus dem Opfer beim Handshake eine falsche Absenderadresse zu übermitteln. Das SYN/ACK-Antwortpaket wird also ins Nirgendwo beantwortet. Wenn nach einiger Zeit keine Rückantwort des ACK-Paket erfolgt, wird der Verbindungsversuch als erfolglos abgebrochen. Nutzt man jedoch nun die Zeit bis zum Abbruch damit, dem Opfer eine Unmenge von SYN-Paketen zu schicken, und ihn somit zu überfluten, wird der Rechner des Opfers in die Knie gehen.
Hier ein Beispiel einer solchen Konversation:

SYN-Flooding: Gegenmassnahmen

FreeBSD reagierte mit einem Patch, wie dies auch andere Hersteller getan haben. Bei der Kompilierung eines aktuellen Linux-Kernels zum Beispiel, können Gegenmassnahmen aktiviert werden, um SYN-Flooding entgegenzuwirken. Die dahintersteckende Technik ist gleichermassen einfach als wie auch effizient: Nur eine gewisse Anzahl halboffener Verbindungen mit vertrauenswürdigen Hosts, mit denen ein Cookie ausgehandelt wurde, werden angenommen.

zum Anfang

3.3. OOB-Angriffe

OOB (Out of Band) ist ein Feature von TCP, das es erlaubt, Daten ausserhalb der Reihenfolge (engl. out of band) zu senden. Dies ist zum Beispiel nützlich für die Behandlung von [Ctrl]+[C] in Telnet-Verbindungen, was eine sofortige Terminierung des Dialogs zur Folge hat. Weniger produktiv genutzt kann das ganze werden, wenn am anderen Ende was ausreichend altes von Microsoft hängt - dieses mag OOB-Daten an vielen Stellen gar nicht. Schuld an der Möglichkeit einer solchen Attacke war die fehlerhafte Implementierung von NetBEUI durch Microsoft: Sobald über die Ports135 und 139 ein paar Daten oder wirre Zeichen eintrafen, die nicht der Norm entsprachen, stürzte das betroffene System ab.
Das erste OOB-Tool war WinNuke, welches laut verschiedenen Quellen am 7. Mai 1997 das Licht der binären Welt als C-Source für Linux erblickte. Eine Portierung für Win32 liess nicht lange auf sich warten und wurde unter dem treffenden Namen WinNuke 95 publiziert. Durch den IRC (Internet Relay Chat) und verschiedene Newsgroups erreichte WinNuke bald eine gewisse Popularität und Verbreitung. Erschreckend ist ganz sicher die unglaubliche Einfachheit und Primitivität dieses Fehlers und seiner Ausnutzung, der dazu führte, dass es in kürzester Zeit eine Unmenge von OOB-Nuke-Tools gab. Die OOB-Nuker wurden stetig perfektioniert: So konnte man neben Massen-Nuke auch "Abschiessgründe" senden und anschliessend sogar verifizieren lassen, ob der Rechner des Opfers tatsächlich crashte, indem versucht wurde der Zielrechner mit einem ICMP-Ping zu erreichen.

OOB-Angriffe mit WinNuke 95

Das am meisten eingesetzte Programm mit der OOB-Funktionalität war unumstritten WinNuke 95. Das Nuke-Tool war sehr einfach zu bedienen, da lediglich die IP-Adresse des Opfers ausfindig gemacht und in die Maske des Utilities eingetragen werden musste.


WinNuke im Einsatz gegen das eigene System: Sind wir verwundbar?

Durch den Druck auf den Nuke-Knopf wurde die tödliche Sequenz abgeschickt und innerhalb weniger Sekunden der Angreifer über den Verbleib des attackierten Systems informiert.

OOB-Angriffe: Gegenmassnahmen

OOB-Attacken verlieren jedoch zunehmends an Bedeutung, da Windows 98 und 2000 gegen solche Angriffe bereits gefeit sind. Bei Windows 95 und NT mussten noch Updates installiert werden, um diese Attacke wirkungslos erscheinen zu lassen.
In grösseren Netzwerke, in denen zwingend gegen OOB-Angriffe verwundbare Rechner an ein externes Netz gebunden werden müssen, empfiehlt sich der Einsatz von NAT (Network Adress Translation - IP Masquerading), welches durch ein Firewall-System realisiert wird. Dadurch sind keine direkten Verbindungen zu den verwundbaren Hosts mehr möglich, und nicht nur OOB verliert dadurch seine Bedrohlichkeit.

zum Anfang

3.4. IP-Fragmentierung (Ping of Death)

Ein einzelnes IP-Paket ist inklusive Header maximal 65'535 Bytes lang, Ethernet-Pakete können jedoch maximale 1'500 Bytes Daten übertragen. Grössere Pakete werden fragmentiert und beim Empfänger wieder defragmentiert, wobei die Zusammensetzung anhand eines Offset-Wertes erfolgt. Dies wird gemacht, um Netzwerkabschnitte zu überwinden, welche lediglich eine maximale Paketlänge unterstützen. Jedes Paketfragment erhält neben dem Offset-Wert auch noch eine Identifikationsnummer, aber nur das erste enthält den TCP-Header und damit die Portnummer. Dieser Offset-Wert bestimmt für jedes Fragment, wohin es gehört oder wohin es soll. Dadurch ist es möglich, dem letzten Fragment einen Offset zu geben, der inklusive Fragmentgrösse einen grösseren Wert als die maximalen 65'535 Bytes ergibt. Dieses übergrosse Ping-Paket erzeugt anschliessend einen Bufferoverflow. Dieser Angriff funktioniert nicht nur mit ICMP und Ping, sondern auch mit UDP und TCP. Obwohl ein ordentlicher Ping-Befehl keine Pakete grösser als 65'507 Bytes (65'535 Bytes abzüglich 20 BytesIP-Header und 8 Bytes ICMP-Header) zulässt, bot bei den ersten Versionen von Windows 95 (a und b) der dort implementiertePing-Befehl das entsprechende Feature in Form eines Parameters. Einfach "ping -l 65510 zielhost" eingeben, und der Todes-Ping wird ausgeführt.

Anfang 1997 war von dieser Attacke durch das Tool jolt.c so ziemlich alles betroffen, was einen IP-Stack hatte. Von der Workstation bis zum Drucker war damals praktisch nichts dagegen gewappnet. Sie gilt auch als eine der erfolgreichsten Angriffsmöglichkeiten gegen Sniffer: TCP-Filter können auch in der Regel nicht mehr sicher unterscheiden, ob die Paket ins interne Netz gelassen werden dürfen, da die Port-Information bei den meisten Paketen fehlt. Wenn die Zielstation nun auch noch unvollständige Paketfragmentfolgen auswertet - und jene auch nicht verwirft - kann eine Firewall ohne grössere Probleme umgangen werden. Dies war bei einer Linux-Box mit ipfwadm und ipchains, Conseal PC Firewall und McAfee PC Firewall möglich. Diese DoS-Attacke konnte auch bei der Checkpoint-1-Firewall Fuss fassen, wie Lance Spitzner in seinem Bericht demonstrierte: Eine grosse Anzahl fragmentierter Pakete trieb die Prozessorauslastung bis auf 100 %. Mit jolt2.c wurde ein gebührender Nachfolger publiziert, den es gleichermassen für Windows 2000 und Linux x86 mit glibc2 gibt.

Fragment Overlapping (Teardrop)

Ein einfacher aber wirkungsvoller Angriff, der IP-Fragmentierung ähnlich wie der "Ping of Death" ausnutzt, ist die sogenannte "overlapping fragment attack" nach RFC 1858 (Security Considerations for IP Fragment Filtering); Auch diese Attacke wurde gegen Ende 1997 besonders oft gesichtet und wurde als teardrop.c bekannt. Die derzeitige Internet Protokoll-Spezifikation RFC 791 (Internet Protocol) beschreibt einen Reassemblierungs-Algorithmus, der neue Fragmente produziert und dabei jeden überlappenden Teil der zuvor erhaltenen Fragmente überschreibt. Wird ein solcher Algorithmus angewendet, so kann ein Angreifer eine Folge von Paketen konstruieren, in denen das erste Fragment (mit einem Offset der Länge Null) harmlose Daten beinhaltet (und dadurch von einem Paketfilter weitergeleitet werden kann). Ein beliebiges nachfolgendes Paket mit einem Offset, der grösser als Null ist, könnte TCP-Header-Informationen (z.B. destination port) überlappen. Diese würden durch den Algorithmus modifiziert (überschrieben). Dieses zweite Paket wird von vielen Paketfiltern nicht gefiltert.

Gegenmassnahmen zum Teardrop

Gegenmassahme hierzu ist, Paketfilter zu verwenden, die ein Minimum an Fragment Offset für Fragmente verlangen. Nur wenige neuere TCP/IP-Stacks erkennen dieses Problem und korrigieren dieses. Ältere Router lassen sich mit diesem Trick einfach durchtunneln, sie bieten keinen Schutz. Besonders aber Firewalls, die auf der Basis der Stateful Paket Filterung (SPF) arbeiten, wie z.B. Raptor Eagle und Firewall-1 liessen sich so durchtunneln. Content-Anbieter im Internet und ISPs, die mit diesen FirewallsNT-Server schützen wollten, wurden so Ziel der unzähligen Angreifer, die neue Exploits mal testen wollten. Der Exploit fawx.c funktioniert da etwas anders: ähnlich wie ssping.c sendet das Utility übergrosse fragmentierte IGMP-Pakete auf eine Windows-Maschine, um sie dadurch einfrieren zu lassen.

Gegenmassnahmen zum Ping of Death:

Abhilfe schafft nur eine vollständige Reassemblierung der TCP/IP-Pakete bzw. ein Patch oder der Einsatz eines Proxy. Nachteil der zweiten Lösung ist ein enormer Einbruch in der Performance, der den Vorteil der SPF-Firewalls völlig zunichte macht. Dies zeigt aber wieder einmal deutlich, dass Firewalls keineswegs perfekt sind. Will man solchen Angriffen zuvorkommen, so ist man als Betreiber eines mission critical Systems auf die ständige Betreuung eines Experten angewiesen. Da von diesem Angriff nur spoofende Versionen existieren, können die Täter oft nicht aufgespürt werden.

zum Anfang

4. Lokale Denial of Service-Attacken

Die Medien haben einen Hang Denial of Service-Attacken auf Distanz praktisch zu glorifizieren: Eingeschüchtert sollen sich die Leser der Zeilen mit dem Thema auseinandersetzen - Die Angst mit dem Unbekannten Bösewicht aus dem Netz der Netze.

Verloren geht, vielen unbewusst, dass stets auch lokale Angriffe diesen Ursprungs eine nicht zu unterschätzende Gefahr in sich bergen. Viele Eindringlinge "verschrotten" ein kompromittiertes System nach dessen Einnahme, starten also eine lokale DoS-Attacke. Dieses Vorgehen basiert in den meisten Fällen auf dem Verschlingen von Systemressourcen oder Programmierfehlern. Findet eine Penetration dieser Form statt, so wird berechtigten Benutzern das Nutzen der betroffenen Ressourcen erheblich erschwert oder gar verunmöglicht. Ein Nachteil von Windows NT ist gleichermassen sein Vorteil: Das besagte Betriebssystem wurde nicht für die Fernarbeit konzipiert. Ein Remote-Login an einem solchen System ist also nicht vorgesehen und daher auch seltenst genutzt. Somit wird ein schelmischer Bösewicht lokalen Zugriff aufsuchen, um seine destruktive Ader in dieser Hinsicht zu Tage zu fördern (z.B per Bootdiskette oder korrupter Anfrage beim LSA-Service, siehe Kapitel Sicherheitsluecken in Windows NT: Account- und Passwort-Angriffe).

zum Anfang

5. Distributed Denial of Service-Angriff (DDoS)

5.1. Einleitung

Ein neuer Trend in Denial-of-Service Angriffen wird seit Mitte 1999 beobachtet und hat Anfang diesen Jahres bei Angriffen auf Firmen wie Yahoo und eBay für internationales Aufsehen gesorgt: Anstelle von einzelnen Systemen, die als Ausgangspunkt eines Denial-of-Service Angriffs benutzt werden, kommt nun eine Vielzahl von unterschiedlichen Systemen in einem grossflächig koordinierten Angriff auf einzelne Systeme oder Netzwerke zum Einsatz. Die Anzahl der an einem Angriff beteiligten Systeme kann dabei variieren; einige hundert bis tausend gleichzeitig angreifende Systeme wurden bereits beobachtet. Da die an einem Angriff beteiligten Rechner oft über grosse Teile des Internets verteilt sind, spricht man von einem sog. "Distributed Denial-of-Service" (DDoS) Angriff. Die Tools sind unter Namen wie "trin00", "Tribe Flood Network" "Stacheldraht" "Shaft" oder "MStream" bekannt und stammen zum Teil aus Deutschland.

zum Anfang

5.2. Funktionsweise von DDoS

Da sich der Angreifer beim einem DDoS Angriff die Leistung vieler Systeme zunutze macht, können auch Sites mit sehr grossen Resourcen und breitbandigen Netzverbindungen erfolgreich angegriffen werden. Ein DDoS-Netz besteht neben dem Angreifer und dem Opfer aus sog. Agenten und Handlern. Die Agenten sind die eigentlichen Angreifer. Sie werden nicht direkt vom Angreifer kontrolliert sondern über die Handler gesteuert. Der Angreifer selbst kommuniziert also nicht direkt mit dem Opfer oder den Agenten. Diese Konstruktion ist für den Angreifer aus mehrfacher Hinsicht vorteilhaft: Die Identität des Angreifers wird verschleiert und die Robustheit des DDoS-Netzes ist höher, weil die Handler in der Regel nicht alle Agenten kennen. Dadurch kann das DDoS-Netz auch Teilausfälle verkraften (z.B. durch Entdeckung einiger Agenten oder Handler). Um die Wirksamtkeit der Angriffe zu steigern, werden die Agenten häufig auf Systemen installiert, die eine Netzanbindung mit hoher Bandbreite besitzen. Die Abbildung zeigt die typische Struktur eines DDoS-Angriffs.

Die Installation der Agents und Handler durch den Angreifer erfolgt zumeist auf Systemen, in die zuvor über Ausnutzung bekannter Schwachstellen eingebrochen wurde. Mittels sog. "Rootkits" wird zusätzlich die Existenz bzw. der Betrieb der Agents und Handler auf den kompromittierten Systemen zu verbergen versucht. Derzeit laufen die Agenten und Handler vorwiegend auf Linux und Solaris Systemen. Allerdings wurden auch schon Agenten auf WindowsNT Systemen beobachtet. Da die Tools im Sourcecode veroeffentlicht sind, ist die Anpassung an weitere UNIX oder Windows-Varianten kein Problem.

Zusätzlich fälschen die Agenten die Absender-IP-Adressen (IP Spoofing), so dass es nicht möglich ist, den Rechner Agenten während oder nach dem Angriff anhand der Absender-IP-Adresse zu bestimmen.

Die Tools werden ständig verbessert. Dabei konzentriert sich die Entwicklung auf mehrere Bereiche:

zum Anfang

5.3. Gegenmassnahmen für DDoS

5.3.1. Massnahmen gegen Missbrauch als Teil eines DDoS-Netzes

Um den Missbrauch eigener Systeme bei DDoS-Angriffen zu verhindern, sollten diese vor allem gegen Einbrüche gesichert werden. Wo dies nicht a priori nicht vollständig möglich ist, bieten sich auch Tools an, die DDoS Agenten und Handler aufspüren können.

Sicherung der Systeme gegen Einbrüche

Vor dem eigentlichen DDoS-Angriff, muss der Angreifer in einem als Mass Intrusion bezeichneten ersten Schritt in diese Systeme einbrechen, um dort die DDoS Tools zu installieren. Dieser Phase kann durch Sicherung der eigenen Systeme begegnet werden:

Übrigens sind für die Ausführung von DDoS-Tools Root-Rechte nicht zwingend notwendig. Die Tools können auch mit den Rechten nicht priviligierter Nutzer ablaufen. Allerdings sind sie dann in ihrer Nützlichkeit für den Angreifer eingeschränkt, weil ein Teil der Funktionalität nicht zur Verfügung steht, so z. B. das Fälschen der Absender IP-Adressen oder Angriffsmethoden, deren Ausführung die Konstruktion unzulässiger IP-Pakete beinhaltet.

Die meisten Intrusion Detection Systeme verfügen mittlerweile über ein Modul zu Erkennung von DDoS Verkehr. Ein einfaches, frei verfügbares IDS ist snort, das ebenfalls DDoS Verkehrsmuster erkennen kann.

5.3.2.Massnahmen zur Abschwächung und Aufklärung von DDoS Angriffen

Zwei Hauptprobleme stellen sich während eines DDoS-Angriffes: Erstens ist die Ermittlung der angreifenden Agenten durch das Fälschen der Absender IP-Adressen sehr schwierig und zweitens muss die Abwehr möglichst nahe an der Quelle (den Agenten) des DDoS Angriffsdatenstroms erfolgen. Die Abwehr am Netzßbergang zum Opfer greift nicht mehr, da die ßberflutung hier bereits eingetreten ist. Idealerweise sollten die Angriffspakete schon in dem Netz abgefangen werden, in dem sich der Agent befindet oder beim Internet Service Provider dieses Netzes.

Paketfilter am Netzeingang und Netzausgang (Ingress- und Egress-Filter)

Mittels eines Paketfilters werden nur diejenigen IP-Pakete ins Internet gelassen, deren Absender-IP-Adresse aus dem eigenen Netzbereich stammt. IP-Spoofing ist damit zwar nicht gänzlich unterbunden (der Angreifer kann immer noch die Absender-IP-Adresse auf eine andere IP-Adresse im jeweiligen Netzbereich ändern) aber doch so stark eingeschränkt, das ein IP-Paket wieder eindeutig einer administrativen Domain zugeordnet werden kann.

Aufbau eines Systems zur Verfolgung von Datenstrümen im Netz

Um die Angreifer (d. h. die Agenten) in einem Distributed Denial-of-Service Angriff zu bestimmen, muss es gelingen, die Systeme zu bestimmen auf denen die Agenten ablaufen, was durch die Fälschung der Absender IP-Adressen derzeit verhindert wird. Wßnschenswert ist deshalb ein System, mit dem zu einem IP-Paket der Eintritts- und/oder Austrittspunkt aus einem Netzwerk bestimmt werden kann, ohne auf die Absender-IP-Adresse zurßckgreifen zu mßssen.

Der Nutzen solcher Systeme ist offensichtlich, da nicht nur DDoS Angriffe, sondern auch andere Angriffe, die sich des IP-Spoofings als Mittel zur Tarnung bedienen, damit wirksam verfolgt werden künnen. Derzeit exisiteren solche Systeme noch nicht in Form benutzbarer Produkte.

zum Anfang

Beispiele:

Yahoo! - Why denial of service (DOS) attacks work

Links zum Thema DDoS

Analysen und eine Liste der betroffenen .com Sites (engl.)

zum Anfang

Viren

Geschichte

Ein im Zeitalter der auf fortschreitenden Vernetzung von Computer-Systemen wie der zunehmend akut werdendes Sicherheitsproblem ist das Phänomen der Computer-Viren. Aus den Simplen, destruktiven Miniaturprogrammen, die im Huckepackverfahren mit standardapplikationen in Computer-Systeme eindringen, wurden in den letzten Jahren intelligente, sich verändernde und durch Datennetze ausausbreitende Applekationen *.

Erste Viren wurden bereits 1974 in Forschungslaboratorien getestet. Anfang der achtziger Jahre wurden sie dann aufgrund ihrer Verbreitung auch der breiteren öffentlichkeit bekannt. Neben relativ gutmütigen Viren wie dem Sesamstrassen-Cookie-Monster, das auf dem Bildschirm erschien und nach einem keks verlangte(durch Eingabe von Cookie konnte es für eine Weile beschäftigt werden), wurden im Laufe der Jahre immer agressive und zerstörerische Virenprogramme entwickelt. Die erste massive Verseuchung von Computer-Systemen trat 1987 auf. Das IBM Christmas-Card-Worm Virus verseuchte dabei weltweit eine grosse Anzahl von IBM-Mainframe-Computern. Einmal in ein unverseuchtes System eingedrungen, vervielfältige er sich bis zu 500.000 Mal pro Stunde und legte in kürzester Zeit das gesamte System lahm.
Das wohl bekannteste Virus wurde 1988 von dem Studenten Robert Morris(dem Sohn eines Computer-Sicherheitsexperten des Verteidigungsministeriums) im Internet ausgesetzt. Inerhalb weniger Stunden legte das Programm, das in der Lage war, sich selbst immer wieder zu reproduzieren, mehr als 6.000 Internet-Computer lahm. Im Jahr darauf wurde als Reaktion der ARPA das Computer Emergency Response Team(CERT) gebildet, mit dem Ziel, die Internet-Teilnehmer bei der Bekämpfung von Sicherheitsrisiken zu unterstützen. Trotzdem stieg die Anzahl der weltweit in Verbreitung befindlichen Computer-Viren seit 1991 um 500% an und liegt derzeit bei über 10.000! Aufgrund der zunehmenden Integration von internen Unternehmensnetzen und dem Internet durch den Trend hin zu Intranets können sich Viren heute rascher als je zuvorausbreiten. So werden heute von 1000 Computern monatlich zwischen 10 und 30 von einem Virus befallen, ob wohl bereits an die achzig prozent aller PCs mit Anti-Viren-Produkten geschützt sind. Bei mehr als zwei Drittel der entdeckten Viren handelt es sich dabei um Dokumentenviren wie Word-Macro- oder Excel-Macro-Viren.

* (Auszug aus "Sicherheit im Internet" von Othmar Kyas, 2te Auflage)

zum Anfang

Arten von Viren

Beschreibung einiger Viren-Arten (-Formen). Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man somit als eine Mischform verschiedene Virentypen bezeichnen. Ausserdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begriffserklärung an.

ANSI-Bomben
Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + Return" auf eine Taste (z.B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.

Construction Kits
Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden.

CMOS
Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom übber eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Grösse des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sicht nicht in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Disketten gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", welche als sehr gefährlich einzustufen sind.

Companion-Viren (Split-Viren)
Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meisst fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren bedeuten ! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufgruft. (z.B. Honecker Virus).

Dateiviren
Diese Viren befallen ausführbare Dateien. Meisst befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung). - Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programmes. Danach erst startet das normale Programm. Meisst geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei.

Dropper / Partitions-oder Bootsektorvirusstarter
Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellem Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programmes auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist jetzt somit dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird.

Direct Action-Viren
Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systemes mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, aber trotzdem wenig verbreitet sind.

DIR-Viren / Verzeichnis-Viren
Dieser Typ von Virus manipuliert direkt die DOS-Veerzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Disketten, sind alle infizierten Datei querverbunden, da alle Dateie auf den selber Cluster zeigen.

Fast Infector
Schon beim öffnen bzw. schliessen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenden System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken.

Header-Viren
Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Ausserdem sind diese Viren auch sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.

HLL-Viren
In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auch, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwierig zu programmieren sind.

Hoaxe
Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist die Tatsache, dass Mailsystem verstopft und ahnungslose Leute in Panik versetzt werden. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal".

HTML-Viren
Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch koennen nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorei Makroviren fallen.

In the wild (ITW) - Viren in freier Wildbahn
Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der grösste Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti Viren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten.

Java Viren
Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implentierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Strukur von Java sehr umfpangreich und nicht leicht erlernbar ist.

Kernel-Viren
Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystemes. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. Ansich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor.

Killerprogramme
Unter Killerprogramme versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfall werden die Daten eines Systemes gelöscht oder unbrauchbar gemacht. Es kan z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar.

Laborviren / Research-Viren
Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der grösste Teil aller Viren als Laborviren zu bezeichnen.

Makro Viren
Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumenter infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. - Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren).

Partitionsviren
Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. Meisst reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen.

Polymorphe Viren
Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutinge identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschhlüsselungsroutinge wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an sogenannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind......

Retroviren
Dieser "Virenspezie" ist darauf aus AntiVirenProgramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genaustens "Byte für Byte" die Anti Viren Programme nach Schwachstellen.
Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch ansich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen sogeannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren....

Residente Viren
Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt.
Somit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist fuer Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite -Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist entgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus.

Script-Viren
Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen.

Slack Viren
Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren um sich unauffällig einzunisten. Dadurch wird verhindert, dass die Grösse einer Datei verändert wird und somit dem Anwender nicht auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.

Slow Infector-Viren
Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, um Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da somit die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.

Stealthviren / Tarnkappenviren
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.

TSR-Dateiviren
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD¡äs von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.

Update-Viren
Eigentlich sagt hier auch schon die Bezeichnung "Update" eine Menge aus, welches sich auch in der Art des Virus wiederspiegelt. Update-Viren sind in der Regel einer ganzen Familie zuzuordnen. Meisst werden diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert.

Überschreibende Viren (Overwriting)
Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.

Zeitzünder
Es handelt sich hier um spezielle Auslüsemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehüren. Theoretisch ist es somit möglich,k einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.

zum Anfang

Trojanische Pferde

Definition

Trojanische Pferde sind eine Virensonderform, die sich im Unterschied zu den meisten anderen Virentypen nicht auf dem infizierten System vervielfältigen. Die Operationen von trojanischen Pferden sollen im Gegenteil möglichst so durchgeführt werden, dass sie für Benutzer des betroffenen Computersystems unsichtbar bleiben. Einige Sonderformen sind sogar in der Lage, sich nach der Erfüllung ihres Auftrags (wie z.B. der Aufzeichnung von Passworten und Versendung per E-mail an den Angreifer) sich selbst zu löschen und den ursprünglichen Zustand des Systems wiederherzustellen. Typische Funktionen von Trojanischen Pferden sind das Vortäuschen von Login- und Passworteingabe- Dialogen, oder das Aufzeichnen von Tastatur-Eingaben.

Ein Trojanisches Pferd ist:

Trojanische Pferde haben meistens die folgende Funktionsweise:

Einige Trojaner tun beides. Zusätzlich existiert noch eine andere Klasse von Trojanischen Pferden, die dem Ziel wirklich Schaden zufügt (z.B. könnte es Ihre Festplatte verschlüsseln oder umformatieren).
Trojanische Pferde können Informationen (bezüglich unautorisiertem Zugang oder allgemeine) sammeln oder sogar Ihr System sabotieren.

Trojaner werden meistens von Amateurprogrammierern entwickelt; gewöhnlicherweise von Menschen, die Unruhe stiften wollen.

Manchmal werden Trojanische Pferde auch von Programmierern eingeschleust, die an einer legitimen Entwicklung arbeiten. In diesem Fall wird der unautorisierte Code von jemandem, der an der Entwicklung beteiligt ist, in eine Applikation oder ein Utility (in seltenen Fällen auch in das Betriebssystem selbst) integriert. Diese Situationen sind aus den folgenden Gründen viel gefährlicher: Diese Trojaner sind nicht destruktiv (sie sammeln Informationen auf Systemen); in der Regel werden sie nur durch Zufall entdeckt.
Vertrauenswürdige Sites können gefährdet werden, wie z.B. Sites, die Hunderten oder Tausenden von Benutzern einen Internet-Zugang zur Verfügung stellen. Es könnten Sites der Regierung oder Sites akademischer Einrichtungen sein, die sich von Sites kleiner Unternehmen unterscheiden. Im Fall eines kleinen Unternehmens betrifft der Schaden in der Regel nur das Unternehmen selbst und seine Benutzer. Das ist schlimm genug, betrifft aber nur dieses eine Unternehmen. Im Gegensatz dazu kann die Gefährdung von Sites der Regierung oder denen akademischer Einrichtungen für Tausende von Rechnern ein Risiko darstellen.

Trojaner können sich in der Regel in kompilierten Binärdateien verstecken. Der Code eines Trojaners ist daher in vom Menschen nichtlesbarer Form oder in Maschinensprache geschrieben. Ohne Debug-Programm kann man nicht viel über Binärdateien erfahren. Wenn Sie beispielsweise einen Texteditor benutzen, um sich eine Binärdatei anzusehen, wird Ihnen das nichts bringen. Die einzig erkennbaren Textzeilen sind Copyright-Mitteilungen, Fehlermeldungen oder andere Daten, die an verschiedenen Punkten des Programms an STDOUT ausgegeben werden.

Gegenmassnahmen

Antiviren-Management

In den Unternehmensrichtlinien für die Sicherheit von IT-Systemen sollten Regelungen für debn Umgang mit Soft- und Hardware-Systemen so getroffen werden, dass deren Befolgung das Auftreten von Viren möglichst verhindert. Neben der Durchführung von entsprechenden Schulungen ist dabei die Erstellung eines Viren-Aktionsplans von zentraler Bedeutung. Ausgehen von einem Layout der gesamten EDV-Infrastruktur, welches auch insbesondere auch alle

enthält, sind dabei systematisch Massnahmen für die Prevention bzw. Reaktion zu erstellen.

zum Anfang

Viren-Prevention

Im Rahmen der Viren-Prevention sollten zunächst alle identifizierten Viren-eintrittspforten untersucht und auf Möglichkeiten der Entschärfung hin untersucht werden. Potenziell gefärderte Systeme (z.B. Systeme mit Internet-zugang oder Systeme mit häufig welchselenden Benutzern) können durch den Einsatz mit den entsprechenden Software-Paketen immunisiert und mit Hilfe spezieller Backup-Pläne verstärket abgesichert werden. Der Einsatz von Viren-Scannern, die bei jedem Systemart standardmässig gestartet werden, hilft die Wahrscheinlichkeit einer Infektion weiter zu vermindern. Die Zuständigkeit für Virenfragen sollte durch die Ernennung eines Virenverantwortlichkeiten eindeutig geklärt werden.

Viren-Reaktionsplan

Beim Eintritt eines Virenbefalls tritt der Viren-Reaktionsplan in Kraft. Oberstes Ziel ist es dabei, durch den systematischen Einsatz von möglichst mehreren Antivirus-Programmen alle Viren restlos zu entfernen. Falls Sicherungskopien vorhandern sind, und deren Einsatz in einem akzeptablen Verhältnis zum Verlust an aktuellen Daten stehen, ist zu Überlegen, den gesamten Datenbestand der befallenen Systeme physikalisch zu löschen(Formatierung der Festplatten) und das System vollständig zu rekonfigurieren. Der nächste Schritt besteht in der Analyse des Virenbefalls und der Ursachenforschung. Dies ist genauso wichtig wie die eigentliche Entfernung der Viren. 90% aller infizierten System werden nämlich innerhalb von drei Monaten über die selben oder ähnlicher Wege neu infiziert. Kann die Vireneintrittspforte nicht lokalisiert werden, so ist es eine Immunisierung des Systems sowie eine regelmässige genaue Untersuchung der Speicherbereiche angebracht.

zum Anfang

Beispiele:

Risiko von Viren auf verschiedenen Betriebssystemen

Zusammenfassung:

Es gibt verschiedene Wege, wie sich ein Virus in einem Programm bzw. einer Datei festsetzt. Die "Klassischen" Viren hängen sich (also ihren Programmcode) am Ende einer ausführbaren Datei. - Dazu wird ein Zeiger am Anfang des zu infizierenden Programmes gesetzt. Dieses hat zur Folge: Wird das infizierte Programm gestartet, springt zunächst der Zeiger an das Ende des Programmes (somit an den Anfang des Viruscodes), führt diesen Virus aus und springt blitzschnell wieder an die Anfangsstelle zurück. Danach wird das eigentlich zu startende Programm ausgeführt. Also noch mal: Bei Programmstart wird zuerst der Virus gestartet, dann das eigentliche Programm. Bei leistungsschwachen alten System KANN so ein Virus insofern auffallen, indem der Anwender bemerkt , dass sein Programm oder die Programme langsamer als vor dem Virenbefall gestartet werden. Jedoch fällt dieses Merkmal immer weniger ins Gewicht, da es "von Monat zu Monat" immer schneller Systeme auf dem Markt gibt. Jedoch möchte ich darauf hinweisen, diese Zeitverägsserungen sind ohnehin sehr minimal und kaum ein Anwender würde sich darüber Gedanken machen.

Bei jedem Start des infizierten Programmes startet somit zuerst der Virus. Ab diesem Moment versucht dieser Virus auch andere Dateien zu infizieren.
Diese Art der Infektion richtet in der Regel keine bleibenden Schäden an, da diese recht leicht durch AntiVirenProgramme bereinigt werden können.

Andere Viren gehen wiederum ganz anders vor, indem einfach so viel von einer zu infizierenden Datei überschrieben wird. Nämlich so viel, wie der Virus benötigt. In der Regel geschieht dieser Vorgang recht unauffällig, wenn das Wirtsprogramm (Wirtsprogramm = Programm, welches infziert wird oder schon ist...) entweder gleich oder grösser als der Virus selber ist. Sollte das Wirtsprogramm kleiner sein, wird das komplette Programm durch den Virus überschrieben und hängt den zusätzlichen Platz, welcher darüber hinaus benötigt wird, hinten dran.

Andere Viren verschieben den Original-Bootsektor einer Festplatte, schreibt das eigene Programm in den Bootsrap (Routinge, welche das Bios auffordert, dass Betriebssystem zu starten/laden) und versteckt sich dann selber irendwo auf der Festplatte. Wir ein Betriebssystem nur gestartet, passiert im Prinzip ähnliches wie ich zu Anfang dieser Seite die Infizierung von Programmen beschrieben habe. Es wird auf den Bootsektor bei jedem Systemstart zugegriffen, jedoch startet zunächst der Virus-Lader den auf der Festplatten befindlichen Viren und leitet den Zugriff auf den verplanzten Original-Bootstrap um. Das Betriebssystem wird normal gestartet wie oben beschrieben ein Programm. Nur mit dem Unterschied, dass dieser Virus nun sofort im Hintergrund des Systemes aktiv ist, statt erst beim Start von infizierten Programmen.

Mit dieser Methode kann sich ein Virus auch auf Disketten verbreiten, die keine Programme enthalten. - Denn JEDE Diskette enthält einen winzigen Bootsector.

Wenn also von einer Diskette gebootet, die keinerlei Programme ect. enthält, erscheint lediglich auf dem Bildschirm "keine Systemdiskette...", wie es sicherlich schon vielen Anwender passiert ist. Jedoch reicht das schon aus, um mit Hilfe dieser infizierten Diskette (im Bootsektor) einen Virus zu starten.

Andere Viren überschreiben einfach die Informationen, welche in der FAT über ein Verzeichnis enthalten sind. Dazu wird als "Adresse" das Virenprogramm für jedes Programm auf der Festplatte angegeben. Der Virus selber "verwaltet" die Original-Adressen der Programme und leitet die Zugriffe an die richtigen Adressen weiter. Das bedeutet: Das Programm "fragt" NICHT an der Originaladresse bei Zugriff, sondern quasi beim Virus "als Vermittler" an.

Zu den hier genannten Infektionswegen sei noch erwähnt, dass diese in verschieden Varianten auftreten. Auch die Kombinationen verschiedener Infektionswege in einem einzigen Virus kommen nicht selten vor. Daher wird es zunehmend immer schwieriger, diese Viren überhaupt zu klassifizieren.

Welche Computer und Betriebssysteme sind bedroht ?

Grundsätzlich kann Malware auf jedem Betriebssystem denkbar sein. Je mehr ein Betriebssystem jedoch seine Ressourcen kontrolliert, desto weniger Schaden kann angerichtet werden.

Am meissten betroffen sind Einzel-Desktopsysteme wie z.B. OS/2, MS-DOS, Amiga, Atari und MacIntosh.Windows 3.X / 95 /98 sind nur grafische Benutzeroberflächen von MS-DOS und haben auf Funktionen systemnaher Malware kaum Einfluss. Lediglich greifen hier Makro-Viren für Excel und Word, welche die Makrosprache der Systeme sich zu Nutze machen.

Systemnahe Malware ist auf UNIX, Windows NT oder VMS weniger bekannt. Lediglich treten hier in letzter Zeit vermehrt Internet-Würmer, Makroviren (unter NT) und Trojanische Pferde auf.

Quellen

Datenverlust durch unordentliches Backup


Definition von Datenverlust

Computerbenutzer und viele Experten betrachten Datenverlust oftmals als unwiederbringlich, ohne eine Hoffnung auf Wiederherstellung. Ein Grossenteil der Informationen im Zusammenhang mit Datenverlusten ist jedoch inkonsistent oder ungenau, und so ist es nicht verwunderlich, dass die Themenfelder Datenverlust und Datenrettung für Benutzer zu den verwirrendsten und am schwersten verstaendlichen Konzepten zaehlen.

Man hat drei Tendenzen festgestellt, die zu diesem hoeheren Datenverlustrisiko führen.

1. Es werden grössere Datenmengen auf kleinerem Raum gespeichert. Die Speicherkapazität der Festplattenlaufwerke von heute ist im Vergleich zu den Festplattenlaufwerken von vor 10 Jahren 500-mal so hoch. Höhere Speicherkapazitäten verstaerken jedoch die Auswirkungen eines Datenverlusts, wodurch die mechanische Genauigkeit zum entscheidenden Faktor wird.

2. Die Daten sind unternehmenskritischer als früher. Krankenakten in Krankenhaeusern, eine akademische Arbeit, wichtige Finanz- und Steuerinformationen. Verdienstbescheinigungen. Heutzutage speichert ein Grossteil der Benutzer Informationen auf elektronischem Wege. Der Verlust unternehmenskritischer Daten kann zu erheblichen finanziellen, rechtlichen und produktivitaetsbezogenen Nachteilen für Unternehmen und Privatbenutzer gleichermassen führen.

3. Tools und Techniken für die Datensicherung sind nicht zu 100 % zuverlässig. Die meisten Computerbenutzer verlassen sich auf ihre Sicherungskopien bei Datenverlust. Forschungsergebnisse zeigen, dass 80 Prozent der Kunden mit Datenverlust ihre Daten regelmässig sichern, jedoch für den kritischen Moment der Wiederherstellung nur ungenügend vorbereitet sind. Bei der Sicherung wird vorausgesetzt, dass Hardware und Speichermedien voll funktionsfähig sind, die Daten nicht beschädigt sind, und die letzte Sicherung vor nicht allzu langer Zeit durchgeführt wurde, damit eine vollständige Wiederherstellung möglich ist. Es ist Fakt: Hardware und Software versagen durchaus einmal, und Sicherungen enthalten nicht immer ausreichend aktuelle Daten.

zum Anfang

Hitliste der Ursachen für Datenverlust

Hardware- oder Systemfehlfunktionen (44 Prozent aller Datenverluste)
Mögliche Symptome
  • Fehlernachricht, die besagt, dass das Gerät nicht erkannt wird
  • Zuvor zugängliche Daten sind plötzlich nicht mehr auffindbar
  • Kratzende oder klappernde Geräusche
  • Festplattenlaufwerk dreht sich nicht
  • Festplattenlaufwerk des Computers arbeitet nicht
Beispiele
  • Stromausfall
  • Lesekopf-/Plattencrash
  • Controllerfehler
Gegenmaßnahmen
  • Schonen Sie elektrische Komponenten, indem Sie Ihren Computer vor Nässe, Licht und Staub schützen
  • Vermeiden Sie Spannungsschwankungen durch Verwendung einer unterbrechungsfreien Stromversorgung (USV)
  • Schütteln Sie Festplattenlaufwerke oder Bänder nicht bzw. entfernen Sie die Abdeckungen nicht
Benutzerfehler (32 Prozent aller Datenverluste)
Mögliche Symptome
  • Zuvor zugängliche Daten sind plötzlich nicht mehr auffindbar
  • Ähnliche Nachricht wie "Datei nicht gefunden"
Beispiele
  • Versehentliches Löschen oder Formatieren der Festplatte
  • Störung durch Aufprall oder Fall
Gegenmaßnahmen
  • Führen Sie grundsätzlich keine Aktionen wie Installationen oder Reparaturen durch, mit denen Sie keine Erfahrung haben
  • Vermeiden Sie es insbesondere, den Standort Ihres Computers während des Betriebs zu verändern
Beschädigte Software (14 Prozent aller Datenverluste)
Mögliche Symptome
  • Systemnachrichten mit Bezug auf Speicherfehler
  • Softwareanwendung lädt nicht
  • Fehlernachricht, die besagt, dass Daten beschädigt oder unzugänglich sind
Beispiele
  • Beschädigung durch Diagnose- oder Reparatur-Tools
  • Fehlgeschlagene Sicherungsprozesse
  • Komplexität der Konfiguration
Gegenmaßnahmen
  • Sichern Sie regelmäßig Ihre Daten
  • Verwenden Sie Diagnose-Tools mit besonderer Vorsicht
Computerviren (7 Prozent aller Datenverluste)
Mögliche Symptome
  • Leerer Bildschirm
  • Seltsames und unvorhersehbares Verhalten
  • Fehlernachricht
  • "Datei nicht gefunden", die einen Virenbefall andeutet, wird angezeigt
Beispiele
  • Boot-Sektor-Viren
  • Dateiinfizierende Viren
  • Polymorphe Viren
Gegenmaßnahmen
  • Arbeiten Sie mit einem guten Anti-Virus-Softwarepaket
  • Kaufen Sie Software nur bei seriösen Anbietern
  • Überprüfen Sie alle eingehenden Daten, einschließlich verpackter Software, auf Viren
Höhere Gewalt (3 Prozent aller Datenverluste)
Mögliche Symptome
  • Hochwasser und Erdbeben hinterlassen offensichtliche Spuren, während Spannungsabfälle und Blitzschläge häufig als Fehlerursache unerkannt bleiben
Beispiele
  • Feuer
  • Hochwasser
  • Spannungsabfall
Gegenmaßnahmen
  • Bewahren Sie getestete Sicherungskopien an einem anderen Standort als dem Ihren auf
  • Installieren Sie eine USV
  • Bewahren Sie wichtige Daten nicht in einem hochwassergefährdeten Bereich auf

 

Beispiele:

7.000 Domains von Datenverlust betroffen

 

Zusammenfassung

Datenrettung:

Man kann die Daten wiederherstellen, die durch mechanische und elektromagnetische Defekte, Bedienungsfehler, Viren, Naturkatastrophen, Computerkriminalität oder aehnliche Ereignisse nicht mehr verfügbar sind."Ontrack" Datenrettung hat Werkzeuge für Datenrettung von nahezu jeglichen Speichermedien und Betriebssystemen entwickelt und bietet einen herausragenden Service mit einer Erfolgsquote, die in der Branche unerreicht ist.

Der Datenrettungs-Prozess besteht aus zwei Schritten, der Diagnose und der Datenrettung.

Die Diagnose:
Sobald der Datentraeger bei Ontrack Datenrettung eingetroffen ist, wird er im Labor eingehend untersucht. Es wird dann ermittelt, welche Daten und Softwareprogramme wiederherstellbar sind. Nach Abschluss der Diagnose wird dem Kunden eine Liste der wiederherstellbaren Dateien zur Verfügung gestellt und ein Angebot unterbreitet, in dem Preis und Leistung der Datenrettung spezifiziert sind. Auf dieser Basis kann sich der Kunde nun für die Datenrettung entscheiden.

Die Datenrettung:
Sobald der Kunde die Zustimmung gibt, beginnen die Ingenieure mit der Datenrettung. Der Datentraeger wird im Labor mit den eigens von Ontrack Datenrettung entwickelten Instrumenten, Methoden und Werkzeugen bearbeitet. In den meisten Fällen können die Daten vollständig wiederhergestellt werden. Die geretteten Daten werden auf ein Backup-Medium gesichert und dem Kunden zugesandt.


Quellen

zum Anfang