Der König und seine Schätze

Stellen Sie sich vor, Sie sind ein Herrscher über mehrere Schlösser mit unzähligen Schätzen und Geheimnissen.

Sie haben eine fast unüberschaubare Anzahl von Untertanen, von denen aber nicht alle vertrauenswürdig sind.
Jedes dieser Schlösser hat mehrere zehntausend Türen und Fenster (durchnumeriert).
Wie können Sie verhindern, dass Ihre Schätze verschwinden Ihre Geheimnisse verraten werden.
Sie werden wahrscheinlich eine Mauer um jedes Schloss ziehen und nur ein oder zwei Tore zulassen.
Alle Schlösser können miteinander Handel treiben indem Sie Boten zu bestimmten Türen schicken.
Dabei können sie am Mauertor kontrolliert und auch abgewiesen werden.
Ein Verkehr mit dem Ausland geht nur über ein besonders vertrauenswürdiges Schloss mit zwei Toren.
Ein Tor geht ins Inland, das andere Tor ist mit dem Ausland verbunden.

So lässt sich alles leichter kontrollieren.

In etwa der nämlichen Situation befindet sich der Administrator von mehreren vernetzten Computern.

Seine Schätze und Geheimnisse sind die Datendateien.
Die Untertanen sind die Programme und Scriptfiles.
Fenster und Türen sind die Ports über die Verbindungen mit anderen Schlösser
Die Tore sind die Netzwerkkarten

Phone-Home, Spyware und andere Schädlinge

Ein Vielzahl von Schädlingen greifen Sie an. Dazu zählen:

Keylogger zeichnet Tastaturanschläge auf, um Kennworte und z.B. Bankdaten zu ermitteln
"Phone Home"-Software liefert gesammelte Informationen an den Hesteller (Hacker aber auch Betriebssystemhersteller).
Backdoors (Hintertüren) über die ein Angreifer die Kontrolle über den Rechner übernehmen kann.
Proxies beantworten Anfragen mit falschen Seiten
Spambots verschicken massenweise Spam an andere Rechner
DDoS-Tools dienen dazu einen Server mit Massenanfragen zu überschütten (evtl. für Schutzgelderpressung).

Häufig werden mehrere Methoden kombiniert, um das Ziel des Angreifers zu erreichen.
Mit einem Personal Firewall wie Zone Alarm kann zwar festgestellt und auch abgeblockt werden, ob eine Applikation heimlich Daten überträgt oder ein Angreifer von außen Kontakt herstellen will. Welche Daten tatsächlich übertragen werden, bleibt aber dabei im Dunklen. Eine Personal Firewall greift aber auch dann nicht, wenn Tools verwendet die legal dazu dienen, Daten über das Internet zu senden oder zu empfangen. Instant Messenger oder Webbrowser könnten unbehelligt vom Personal Firewall Daten übermitteln. Viele Spyware-Programme arbeiten so, sie benutzen den IE zur Übermittlung Ihrer gesammelten Daten.

Um derartige Unregelmäßigkeiten in der Datenübertragung zu erkennen, muss man analysieren, welche Daten an welche Rechner geschickt werden. Dazu sind spezielle Tools, sogenannte Sniffer (Schnüffler) erforderlich. Sie klinken sich in den Datenverkehr ein und protokollieren alle gesendeten und empfangenen Paket.e Danach beginnt die eigentliche Arbeit, man muß den gesammeltenen Datenstrom mit einem Analyse-Tool auswerten, und so herausfinden, ob ein Programm unerlaubt Daten sendet.
Da auf einem 10MBit Netz pro Sekunde über 100.000 Pakete unterwegs sein können, sind derartige Analysen aufwendig. Sollen die Analysen in Echtzeit erfolgen, so benötigen Sie dafür eine sehr leistungsfägige Hardware und kommerzielle Analyseqwerkzeuge.

Auf den folgenden Seiten beschäftigen wir uns mit den grundlegenden Einstellungen beim Sniffen.

Mal eine Überlegung am Rande.
Können Sie sich vorstellen, dass ein Terrorist mit Bomben und Schusswaffen ohne irgendeine Kontrolle ein Flugzeug besteigen darf?
Warum kann der Provider den eingehenden Mail-Datenstrom nicht kontrollieren, eindeutig markieren damit u.U. eine Rückverfolgung möglich ist oder ggf. zurückweisen?
Wenn von 60 eingehenden Mails 95 % Müll ist, würde ich gerne die Absender belangen können. Schliesslich bezahle ich meine Netzanbindung nicht, damit sie mich zumüllen können.

Next Ping Error