Cracker, Hacker & Co

Einleitung

Cracker und nicht Hacker zählen zu den Personen, die illegal versuchen, über Datennetze in fremde Computersysteme einzudringen. Sie löschen, verändern oder missbrauchen geschützte Datenbestände oder Programme. Es entstanden dadurch schon materielle Schäden in Millionenhöhe.

Hacker helfen im Gegensatz zu Cracker die Sicherheit des Internets zu verbessern, denn sie machen auf Schwachstellen oder Sicherheitsdefizite in Computernetzwerken aufmerksam. Hacker, die im Auftrag von Firmen versuchen, Sicherheitslücken aufzuspüren, werden auch als "Penetrationstester" bezeichnet. Sie handeln legal, weil sie beauftragt werden und sich an Vorgaben halten, was mit den gewonnenen Erkenntnissen passiert. Ausserdem sind sie abgesichert, wenn durch die Hackversuche Schäden entstehen. Eine der bekanntesten Hackergemeinde ist der "Chaos Computer Club" in Deutschland (dennoch starteten einige der besten Hacker wohl auch mal als Cracker).

Denial-of-Service-Attacken

Denial of Service - oder kurz DoS - bedeutet soviel wie etwas unzugänglich machen oder ausser Betrieb setzen. Technisch passiert dabei folgendes: Bei DoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo, eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und für eine bestimmte Zeit für normale Anfragen ausser Gefecht gesetzt.

Die Programme, die für DoS-Angriffe genutzt werden, sind mittlerweile sehr ausgefeilt und die Angreifer sind nur schwer zu ermitteln, weil sich der Weg der Daten verschleiern lässt. Möglich sind einige der Attacken durch Bugs und Schwachstellen von Programmen, Betriebssystemen oder Fehlimplementierungen von Protokollen. Andere Angriffe überlasten schlicht das ganze System mit zu vielen Anfragen. Es existieren daher auch verschiedene Formen einer DoS-Attacke:

Syn Flooding:

Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein sogenannter Handshake durchgeführt. Dabei werden so genannte SYN - und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine grosse Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen.

Ping Flooding:

Ping ist ein Programm, das prüft, ob andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding bombardiert der Angreifer den Zielrechner mit einer gewaltigen Menge von so genannten Pings. Der ist nur noch damit beschäftigt die Pings zu beantworten (mit dem so genannten Pong) und je nach Art und Grösse der Pings pro Sekunde, kann dies bei Rechnern mit älteren Betriebssystemen innerhalb kürzester Zeit zu einem Systemabsturz führen. In jedem Fall führt Ping Flooding zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet. Neben dem Systemausfall entstehen ausserdem hohe Kosten, wenn die Netzwerkverbindung nicht nach Zeit sondern nach erzeugter Datenmenge abgerechnet wird.

Mailbombing:

Dabei wird entweder eine enorm grosse Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten bombardiert. Das führt zum Verstopfen des Mail-Accounts. Im schlimmsten Fall wird der Mail-Server langsamer oder bricht total zusammen. Solche Mail-Bombing-Angriffe können ohne grössere Probleme durch im Internet erhältliche Programme durchgeführt werden.

Verteilte Denial-of-Service-Attacken

Seit einiger Zeit gibt es auch vermehrt so genannte "verteilte DoS-Attacken". Dabei kommt anstelle von einzelnen Systemen eine Vielzahl von unterschiedlichen Systemen in einem grossflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. Im Englischen wird diese Art Angriff als Distributed Denial of Service (DDoS)-Angriff bezeichnet. Eine DDoS-Attacke ist daran zu erkennen, dass sie deutlich mehr Netzressourcen als der normale Verkehr beansprucht.

In der Praxis können Sie sich das so vorstellen: Ein Cracker verteilt seine Angriffsprogramme auf mehreren hundert bis tausend ungeschützten Rechnern. Besonders beliebte "Opfer" sind Server in Universitätsnetzen, denn sie laufen meist rund um die Uhr im Gegensatz zu Ihrem Heim-PC. Diese Rechner werden zum Angriffswerkzeug, denn auf Kommando des Hackers bombardieren sie ein bestimmtes Ziel mit gefälschten Anfragen, zum Beispiel einen Web-Server. Der ist dann ausser Gefecht gesetzt. Sich vor solchen Angriffen zu schützen ist deshalb schwer, weil der Zielrechner die Daten erst erhalten muss, um sie zu analysieren. Doch dann ist es bereits zu spät. Die Cracker selbst lassen sich nur schwierig aufspüren, da sie in den meisten Fällen mit gefälschten IP-Quelladressen arbeiten. Deshalb muss verhindert werden, dass DDos-Programme wie "Stacheldraht" oder "TFN 2K" überhaupt eingeschleust werden.

Das verrückte daran ist, dass Ihr eigener Home-PC selbst mit von der Partie bei einem solchen Angfriff sein kann, ohne dass Sie dies bemerken. Der Cracker schleust seine kleinen Angriffs-Agenten ähnlich wie Trojaner-Viren ein, indem er die kleinen Programme in E-Mail Anhänge verpakt, oder diese in nützlichen Tools oder Spielen - sog. "Free- oder Share-Ware"-Programme - versteckt, welche überall im Internet auf diversen Download-Servern angepriesen werden. Bei der Installation des Tools oder des Spieles wird dann unbemerkt auch der kleine DDoS-Agent mit auf dem System installiert, und wartet dann nur noch auf den Befehl des Crackers in Aktion zu treten.

Damit der kleine Agent aber den Befehl empfangen kann, muss das System online (am Internet angeschlossen sein), weshalb manche Agenten auch mit einem Timer (Zeitgeber/Weckuhr) ausgestattet sind, wodurch der Angriff zu einer bestimmten vorgegebenen Zeit erfolgt. Diese Version wird auch "Time Bomb" genannt, ahnlich den Viren, welche genau auf ein Datum ihre Aktionen auslösen.

Gegenmassnahmen

So können Sie sich vor lokalen unbefugten Zugriffen auf Ihren PC schützen:

Schliessen Sie Ihren PC ein, wenn er nicht benötigt wird.
Richten Sie ein BIOS-Passwort ein, damit der PC bei Fremden gar nicht erst booten kann.
Wählen Sie kryptische Passworte und keine Geburtstage oder Namen von Verwandten!
Wenn Sie befürchten, ein kryptisches Passwort zu vergessen, wählen Sie eine Kombination aus Gross/Klein-Buchstaben, Zahlen und evtl. Sonderzeichen, die Sie sich dennoch leicht merken können, z.B. "8-ter_Bahn", "Tea-4-u", "Anton&.chen" (Anton & Pünktchen), etc.
Schreiben Sie Ihre Passworte - wenn überhaupt - nicht auf leicht auffindbare Zettel, welche Sie womöglich noch in der PC-Tasche, auf oder in ihrem Pult aufbewahren, oder gar unter die Tastatur oder noch besser an den Rand des Bildschirmes kleben (alles schon gesehen)!
Geben Sie Ihr geheimes Passwort niemals weiter, auch nicht an Verwandte oder Freunde, oder ändern Sie dieses - falls unumgänglich - kurzfirstig ab, und danach wieder zurück.
Wechseln Sie ab und zu mal wieder Ihr Passwort.
Verwenden Sie auf KEINEN FALL für ALLES dasselbe Passwort (PC, Internet, Bankkarten!).

... und so zusätzlich vor unbefugten Zugriffen aus dem Netz:

Beachten Sie die obigen Punkte auch bei der Vergabe von Internet-Passworten (E-Mail, etc.).
Lassen Sie Ihren PC nicht lange unbeachtet "online" (d.h. am Internet) angeschlossen.
Installieren Sie ein FireWall-Programm (siehe Programmliste unter "Internet Software").

zurück