Ab in den Hafen - oder Netzwerken für Geeks

MacJunkie79

Rare-Mob
Mitglied seit
06.03.2007
Beiträge
458
Reaktionspunkte
0
Kommentare
260
Servus zusammen,

grade habe ich wieder in unserem Buffed-Forum einen Artikel gelesen "Mein Account wurde gehackt". Der Schreiber meinte vielleicht er hätte sich einen Keylogger eingefangen. Nun - meiner Meinung nach geht Accounthacking genau auf 3 Arten:

1. Brute-Force-Methode: Eine sehr sehr alte Methode um Passwort/Benutzer-Kombinationen rauszufinden. Zu Beginn des Computerzeitalters haben die Hacker (heute sind es hauptsächlich Skript-Kiddies die Accounts hacken - zumindest Spielaccounts) die Kombinationen noch selbst durchprobiert. Heute schickt ein Programm wahllos Buchstabenkombinationen an einen Anmeldeserver - in unserem Fall den WoW Login-Server. Kombinationen die einloggen oder den Hinweis bringen bereits eingeloggt zu sein werden aufgezeichnet. Wie lang das dauert kann dem Kiddie ja egal sein. So entsteht eine schöne Liste die man durchprobieren kann. Nachdem der eigene Rechner des Spielers nicht involviert ist, kann man kaum was dagegen tun.

2. Account auf irgendeiner Seite: Wo wir schon bei unseren lieben Goldhändlern wären. Aber kurz noch mal abgeschweift.
Der Datenverkehr in einem Netzwerk passiert ja bekanntlich über Pakete. Diese Pakete nehmen zwischen Sender und Empfänger unterschiedliche Routen, je nach Länge und Geschwindigkeit. Jedes im Netzwerkbefindliche Gerät kann dabei als Hop ("Paketstation") benutzt werden. Auch durch Euren Router tickern nicht nur Eure Pakete. Grundlagenforschung beendet wieder zurück:
Es gibt nun die Möglichkeit einen Rechner im Internet zu installieren, der den Netzwerkverkehr zwischen dem Kundenrechner und dem Goldhändlerserver abhört, aufzeichnet und abbildet. (Klingt zwar einfach erfordert aber schon ein gewisses Maß an Können) Bestellt man jetzt einen Paladin-Power-Level-Dienst mit extra viel Gold und gibt seine Accountdaten auf der Seite ein, so werden diese Daten vom "Ghost" dazwischen aufgefangen. Einziger Schutz ist hier eine verschlüsselte Verbindung zum Goldhändler - oder eben nirgends seine Accountdaten preis geben.

3. Keylogger oder Trojaner
Wie heißt es so schön in der Werbung? "Niemals ohne". Gibt aber tatsächlich noch Leute, die sich ohne Pariser über ihrem Rechner ins Internet trauen.
Worst-Case-Senario: Windows-Rechner ohne Software-Firewall und Virenscanner per PPPoE direkt am DSL Modem. "Ich kann ja nicht entdeckt werden - mich will ja keiner" oder "Meine IP ändert sich doch eh jedes Mal beim einwählen" - Doppel Möööp (danke Soultris - das Möp bleibt irgendwie hängen). 5-10 Minuten am Netz reicht aber meistens schon. Universitäten machen regelmäßig Tests: Ein ungeschützter Linux-PC wird in 5 Minuten etwa 200x auf Sicherheitslücken gescannt. Entdeckt ist schon infiziert.
Noch mal ein kurzer Abstecher:

Alle Verbindungen im Internet basieren auf zwei Dingen - Ports und aktiv und passiv.
Ports: Nehmt mal an Eure Netzwerkschnittstelle sei ein Schrank mit 65535 Schubladen. (nein - keine Socken reinstecken). Jede Schublade von 1-1024 hat einen Namen. Auf Schublade 80 steht zum Beispiel HTTP, auf 21 FTP. Alle Schubladen von 1025-65535 sind unbeschriftet. Diese Schubladen sind Ports. Damit zwei Computer auf einer Ebene mit einander Reden können, müssen sie ihre Pakete an diese Ports schicken. Ruft ihr die Seite von buffed auf, so schickt Euer Computer eine Anfrage auf Port 80 oder 8080 an den buffed-Server. Der gibt einen Portvorschlag zurück - Euer Rechner sagt oki doki und beide wechseln auf den Port über 1024 auf den sie sich geeinigt haben.
Auf einem Port kann immer nur eine Verbindung statt finden.

Damit wären wir bei Aktiv und Passiv. Gibt Euer Rechner dem Server die Verbindungsart und den folgenden Port vor, so spricht man von einer aktiven Verbindung. Sendet Euer Rechner nur eine Anfrage und überlässt das Handling dem Server, so ist die Verbindung passiv. Wie hilft uns das jetzt beim Keylogger-Problem? Wieder zurück.

Um Keyloggern und Trojanern zu begegnen müssen wir uns mit AntiViren-Programmen (AntiVir gibts für lau) und Firewalls ausrüsten. AntiVirenprogramme machen in der Regel alles alleine, Firewalls sind eine Klasse für sich. Von Softwarefirewalls würde ich übrigens abraten - die kann ein Schadprogramm aushebeln. Den besten Schutz bietet ein Router mit integrierter FireWall. Der Router trennt internem von externem Netz und die Firewall filtert die Pakete.

Aber wie konfiguriert man die am Effektivsten? Die meisten Firewalls bearbeiten die Regeln die man konfigurieren muss im Stapelverfahren von 1-X. In jeder Wall gibt es aber immer die Verknüpfung "Es sei denn". Um flexibel zu bleiben konfiguriert man eingehend und ausgehen extra. Die erste Regel ist also "Blocke alles eingehende restriktiv." Wir haben keine Server laufen, deshalb muss niemand eine aktive Verbindung zu uns aufbauen (Es sei denn jemand betreibt einen privaten TS-Server). Zweite Regel "Blocke alles Ausgehende, es sei denn eine andere Regel stimmt". So diese beiden Regeln machen die Firewall nach drinnen dich, lassen aber ein Hintertürchen nach draußen. In den nächsten Regeln bestimmen wir was nach draußen darf. Hierzu empfiehlt es sich vorher eine Port-Liste aus dem Internet ausgedruckt zu haben. So sollte man die Ports 80, 8080 und 8000 (alles HTTP) nach draußen freigeben. Wer mag kann auch die 21 (FTP) dazu tun. Für die Online-Rollenspiele muss man sich die Ports bei Google suchen einfach "Name des Spiels + IP + Port" eingeben und schon hat man den Port meist unter den ersten 3 Treffern.

So erreicht man, dass man nur die Ports nach draußen lässt, die man wirklich braucht. Keine Angst - Eine Verbindung die unser Rechner mit einem anderen Rechner über eine erlaubte Verbindung initiiert wird durch unsere Firewall auch wieder rein gelassen. Was hat das mit Keyloggern und Trojanern zu tun?

Jedes Programm hat seinen eigenen Port auf dem es kommunizieren muss - WoW glaube ich auf 2136. Ein Keylogger muss das genauso - blocke ich den Port kann der Keylogger nicht mehr nach draußen senden. Versucht er es über einen anderen Port werde ich das sofort merken, da der Dienst der eigentlich da zur Verfügung steht nicht mehr funktioniert.

So, so viel zur kleinen Lehre der Firewalls. Das Thema füllt ganze Bücher, aber ich finde Network Security eines der spannensten Themen der IT. Also viel Spass beim Ausprobieren. Wenn ihr noch Fragen habt, dann whispert mich einfach an.

Abschließend möchte ich noch behaupten: In Addons versteckte Keylogger würden keinen Sinn machen - die Addons werden erst nach dem Accountpasswort geladen. Aber generell gilt: Augen auf beim Installieren.


victory.gif


@entschuldigung - kleiner Nachtrag noch:
Wie schützte ich mich vor Keyloggern die meine Passwörter per Mail verschicken oder SPAM über meinen Rechner schicken wollen? Ganz einfach - manche Programme bringen mittlerweile einen eigenen Mailserver mit oder versuchen eine Verbindung zu einem privaten Mailserver im Internet herzustellen. Ergo blockiere ich für meine interne IP-Adresse ausgehenden Traffic auf den Mail-Ports SMTP, IMAP, POP.
Wie verschicke ich jetzt Mails? Eigener Mailserver! Kleiner, billiger Barebone-Rechner (oder ein total ausrangierter PC) ohne Monitor, Mailserver-Software gibts für Lau aus dem Internet. Am Server kann ich dann noch mal jede Mail auf Plausibilität (stimmen Empfänger und Absender?) und Viren prüfen lassen. Für die IP lasse ich den Traffic dann durch. Die meisten Server lassen sich so konfigurieren, dass sie die Mails vom externen Mailserver abholen. Wenn ich es ganz richtig machen will, dann lasse ich an meiner Firewall nur Mail-Ports zwischen externer Mail-Server-IP (die vom Provider) und meinem Server zu.

So jetzt bin ich aber still. Gute Nacht derweil.
dance.gif
 

Lukkjin

Quest-Mob
Mitglied seit
10.02.2007
Beiträge
48
Reaktionspunkte
0
Kommentare
107
Buffs erhalten
45
Möööööööp, junge, war das nen Text. Super das du dir die Mühe gemacht hast, das zu posten
 
TE
TE
MacJunkie79

MacJunkie79

Rare-Mob
Mitglied seit
06.03.2007
Beiträge
458
Reaktionspunkte
0
Kommentare
260
ich wollte gar nicht, dass er so lang wird. Ist wohl mit mir durchgegangen.
 

Minastirit

Raid-Boss
Mitglied seit
29.06.2007
Beiträge
12.949
Reaktionspunkte
1
Kommentare
122
besser kann mans gar ned sagen eigentlich :P
ich sag nur windows 200 + msn laufen lassen mit einem namen wie hack me if u can nup und einmal ins internet .. am tag drauf hatt ich 915 viren ca 30 trojaner die gefunden wurden. Ich will die nicht gefundenen gar nicht wissen :)

Aber gibt trozdem leute die immer noch ohne ins internet gehen..

Trzodem geiler text kannst ihn ja mal ins forum posten da lesen es vlt paar mehr
mfg mInaZ
 

Carcharoth

Raid-Boss
Mitglied seit
17.08.2006
Beiträge
5.462
Reaktionspunkte
142
Kommentare
218
Buffs erhalten
25
Sehr guter Text, allerdings noch n kleiner Kommentar zum letzten Abschnitt:

"Abschließend möchte ich noch behaupten: In Addons versteckte Keylogger würden keinen Sinn machen - die Addons werden erst nach dem Accountpasswort geladen. Aber generell gilt: Augen auf beim Installieren. "

Ich bezweifel, dass es in .lua überhaupt möglich ist ein Programm zu schreiben, dass irgendeinen Text/Datenwert mitloggt und den irgendwohin schickt, da WoW in einer Art Sandbox läuft und keinen unerlaubten Datenverkehr nach aussen zulässt (übrigens auch der Grund wieso es keine Ingame-IRC- oder Ingame-Browser-Addons für WoW gibt).
Die Viren/Logger/whatever die durch Addons übertragen werden, sind irgendwelche .exe Dateien die in nem Ordner versteckt sind und sich irgendwie heimlich aktivieren.
 
Oben Unten