Folgende FAQ über Security-Begriffe habe ich am 09.09.2007 auf pamaxx.de und 2lucky.de veröffentlicht.

 

Was versteht man unter einer Firewall?

Eine Firewall ist generell ein Mittel, um Netzwerkverkehr zu überwachen und die Sicherheit eines oder mehrerer Systeme zu erhöhen. Mit einer Firewall kann man beispielsweise verhindern, dass unerwünschte Verbindungen zum eigenen Rechner aufgebaut werden. Für mehr Informationen kann der Wikipedia-Artikel abgerufen werden.

 

Was ist ein Viren-Scanner?

Viren-Scanner sind Programme, die in echtzeit den Computer überwachen und Schädlinge (wie Viren, Trojaner, Würmer oder andere Malware) entfernen können. Zusätzlich ist es mit der Software möglich, alle angeschlossenen Laufwerke durchzuscannen. Oft kann der Benutzer dann bei jedem Schädlings-Fund entscheiden, wie vorgegangen werden soll. Beispiele: Infizierte Datei löschen, Datei ins Quarantäneverzeichnis verschieben, Datei einfach so belassen und weiter machen.

 

Und was ist Malware?

Als Malware bezeichnet man kleine Programme, die meist schädliche Funktionen ausüben. Sehr bekannte Malware sind Viren, Würmer und Trojaner. Nahezu vollständiger Schutz vor diesen Schädlingen kann durch einen installierten Virenscanner und einer vorhandenen Firewall gewährleistet werden. Zusätzlich sollte man niemals Dateianhänge von unbekannten Absendern (E-Mail) öffnen.

 

Was sind Viren, Würmer und Trojaner?

- Viren sind sich selbst verbreitende kleine Computerprogramme, die teilweise die unterschiedlichsten Ziele verfolgen. Sie können gänzlich harmlos sein oder versuchen, den Computer vollständig unbrauchbar zu machen. Eine ausführliche Beschreibung gibt es hier.

- Würmer sind kleine Schädlinge, die sich selbst z.B. per Mail weiter senden. Ähnlich wie die Viren können diese sehr harmlos oder auch sehr gefährlich sein. Der Benutzer kann sich selbst am besten schützen, in dem er herunter geladene Dateien mit einem Viren-Scanner überprüfen lässt. Eine ausführliche Beschreibung lässt sich hier finden. 

- Trojaner haben das Ziel, sich auf dem Opfer-PC einzuschleichen und anschließend eine Hintertür für den Angreifer zu öffnen. Somit kann man nach und nach Kontrolle über verschiedene Systemfunktionen übernehmen und beispielsweise von einem anderen Rechner aus den infizierten Computer fernsteuern. [Auch hier liefert der Wikipedia-Eintrag einige weiterführende Informationen.

 

Was sind Keylogger?

- Keylogger sind sehr kleine Programme, die jegliche Tastatureingabe des Benutzers abspeichern und meist auch weiter versenden. Somit kann der Angreifer an Daten wie Passwörter, Pins, Tans, Benutzernamen und andere sensible Dinge unverschlüsselt gelangen. 

- Neben den kleinen Software-Schädlingen gibt es aber auch Hardware-Keylogger, diese werden zwischen Tastatur und PC gehängt und loggen ebenfalls alle Benutzereingaben mit. Nach geraumer Zeit kann der “Täter” einfach das Gerät mitnehmen und die Daten an seinem Computer auslesen. Besonders in Internetcaffées und Schulen/Unis besteht ein erhötes Risiko, diesbezüglich ausgespäht zu werden. 

 

Was sind Vulnerabilities // Sicherheitslücken?

Sicherheitslücken (engl. Vulnerabilties) sind Lücken in Programmen, welche die Sicherheit von Software oder des gesamten Computers beinträchtigen. Meist entstehen diese Lücken durch fehlerhafte Programmierung oder unzureichender Absicherung. Sicherheitslücken können von Angreifern ausgenutzt werden, um beispielsweise Administratorenrechte oder sensible Informationen zu erhalten. Neben Betriebssystemen und “normalen” Programmen können auch Webseiten solche Lücken aufweisen, selbst Handys bleiben nicht verschont. Mittlerweile werden Sicherheitslücken sogar auf Internetportalen verkauft, da der Wert dieser Informationen sehr hoch sein kann.

 

Was sind Exploits?

Exploits (auch bekannt als Sploits, Xploits…) sind kleine Programme, welche die oben beschriebenen Sicherheitslücken ausnutzen. Oft liegen Exploits im Internet in Source Code (Quellcode) Form vor und müssen erst kompiliert werden, damit sie funktionieren. Die meisten Exploits sind in der Handhabung sehr einfach und ermöglichen es somit sogar totalen Anfängern, Sicherheitslücken auszunutzen und z.B. in andere Computer einzudringen. Exploits werden in vielen verschiedenen Programmiersprachen geschrieben und sind für nahezu alle Betriebssysteme erhältlich. Wenn ihr nur sehr wenig über Exploits wisst, empfehle ich, euchim Internet zu informieren, da die Thematik nicht in wenigen Sätzen genügend beschrieben werden kann. Der Wikipedia Artikel liefert zumindest eine kleine informative Beschreibung.

 

Shellcode, was ist das?

- Shellcodes werden z.B. in Exploits implementiert, um bestimmte Befehle innerhalb der lückenhaften Software auszuführen. An sich sind es umgewandelte Assembler-Befehle. Ich empfehle dringend, sich im Internet schlau zu machen, da auch dieses Thema hier nicht ausreichend behandelt werden kann  

- Warum verwendet man diese Shellcodes, geht das nicht auch anders? Nun ja, ich versuche es, anhand von Sicherheitslücken und Exploits zu erklären.. Gehen wir davon aus, du hast auf deinem eigenen Rechner eine Schwachstelle gefunden und bereits das Exploit dafür in deinem Ordner. Die Schwachstelle erlaubt dir und deinem Exploit, Code in die fehlerhafte Software einzuschleusen, welcher auch noch mit Systemrechten ausgeführt wird. Dies darf jedoch kein “normaler” z.B. C++ Code sein, da dieser nicht ausgeführt werden kann. Also nimmt man umgewandelte Assembler-Befehle, um den gewünschten Effekt zu erzielen. Da der Shellcode bereits im Exploit enthalten ist, musst du selbst als “Endbenutzer” nichts weiter machen….

 

Was ist ein Buffer Overflow?

- Wenn man ein wenig die aktuellen Security-Meldungen liest, wird dieser Begriff sehr häufig auftauchen.

Ein Buffer-Overflow ist im Prinzip eine Sicherheitslücke und kann mit “Pufferüberlauf” übersetzt werden. 

- Wie entstehen diese Lücken? Nun, Programme bieten oft die Möglichkeit, Benutzereingaben (z.B. Spielername oder Geburtsdatum etc) zu verarbeiten. Um diese Daten vom User in Empfang zu nehmen zu können, wird Arbeitsspeicher reserveriert. Oft kommt es jedoch vor, dass zu wenig reserviert wird und kein Mechanismus vorhanden ist, welcher die Länge der Benutzereingabe überprüft. So kann beispielsweise ein Exploit gezielt diesen Buffer (Puffer) überschreiben (man gibt einfach mehr ein, als vorgesehen) und entweder einen Absturz der Software provuzieren oder eben Code einschleusen. Diese Sicherheitslücke ist eine der häufigsten und kann fatale Folgen für den betroffenden Computer haben, da Teile der zu langen Benutzereingabe mit Administratoren-Rechten ausgeführt werden könnten.

 

Was ist ein Vulnerability-Scanner?

Vulnerability-Scanner überprüfen einen oder mehreren Rechner auf mindestens eine Sicherheitslücke. Somit kann man feststellen, ob ein Computer durch eine bekannte Schwachstelle angreifbar ist und Exploits oder ähnliche Tools eingesetzt werden können. 

 

Was ist ein IP-Scanner?

IP-Scanner sind kleine Tools, welche Netzwerke nach Computern absuchen können. Verfügt ein Computer über eine einmalige IP und eine funktionstüchtige Netzwerkkarte (und Strom ), wird er im Ergebnis des Scanns als “online” angezeigt. Dank der Scanner kann man also feststellen, wie viele angeschlossene Geräte sich im Netzwerk befinden.

 

Was ist ein Port-Scanner?

Port-Scanner suchen auf einem oder mehreren Computern nach offenen Ports (=Verbindungen über bestimmte Kanäle). Wenn man beispielsweise gerade am Surfen ist und sich selbst scannt, wird einem der Port 80 als offen angezeigt. Angreifer können solche Scanner verwenden, um das Opfer-System zu analysieren und eventuelle Schwachstellen ausfindig zu machen.

 

Was sind Sniffer?

Sniffer sind Programme, welche den Datenverkehr eines Netzwerkes empfangen, aufzeichnen, grafisch darstellen und analysieren.

 

Was ist ein Hacker?

Hacker sind Menschen, die über ein enormes Wissen auf einem oder mehreren Gebieten verfügen und dieses kreativ einsetzen. Diese Bezeichnung kann sich also auch auf andere Bereiche, wie z.B. Funktechniker oder Telefonspezialisten beziehen. Hacker verfolgen generell keine “bösen” Absichten und schaden niemanden. Sie wollen, dass alle Informationen frei verfügbar sind und halten sich zu meist an bestimmte Richtlinien (z.B. niemanden Schaden, sich nicht selbst bereichern usw). Hacker bezeichnen sich selbst eigentlich nicht als solche, sondern eher als Freaks oder als sehr Themen-fokusierte Leute. 

Der Begriff Hacker wird unter “guten” Freaks als eine Art Ehrung angesehen, welche natürlich nur von anderen Hackern ausgesprochen werden kann. Wenn ein totaler Anfänger dich als Hacker bezeichnet, kannst du dies in der Regel ignorieren  

Die Bezeichnung Hacker wird von vielen Medien gerne hergenommen, wenn jemand in andere Computer eingebrochen ist und Schaden verursacht hat. Dies ist jedoch in der Regel eine falsche Darstellung von dieser Gruppierung.

 

Und wie kann man dann die Leute nennen, die in andere Computer eindringen und Schaden verursachen?

Vielleicht Cracker oder Script-Kiddies. In seltenen Fällen sind es tatsächlich Hacker, die Schäden in anderen Systemen hinterlassen, jedoch steckt zumeist eine “ehrenhafte” Motivation dahinter. Wobei dies mit dem eigentlichen Ehrenkodex nur schwer vereinbar ist. 

 

Was ist ein Script-Kiddie?

Meist jüngere Menschen, die über einen Bruchteil von Security-Wissen verfügen und damit einfach nur so destruktiv wie möglich sein wollen. Viele dieser Kiddies bezeichnen sich selbst als Hacker und werden aber von solchen bemitleidet, verabscheut oder einfach ignoriert.

Script-Kiddies sind z.B. im FXP-Bereich zu finden (Leute, die Server knacken, damit sie z.B. aktuelle Filme oder Spiele darauf speichern können) und richten nicht gerade selten finanzielle Schäden an. In den Medien werden Script-Kiddies sehr oft als Hacker bezeichnet.

Es ist aber nicht unbedingt das Wissen, welches einen in diese Kategorie verfrachtet, sondern eher die Art, wie man es anwendet. Leute, die eigentlich keine Motive haben, nichts selbst programmieren oder lernen wollen und einfach nur irgendwelche Tools verwenden, um ihr destruktives Ziel zu erreichen, können getrost als Script-Kiddies bezeichnet werden.

Es kann also auch “kompetente” Kiddies geben… aber dies ist höchst selten.

 

Wie komme ich an aktuelle Informationen aus diesem Bereich?

Wenn dir ein hohes E-Mailaufkommen nichts ausmacht, kannst du dich bei den einschlägigen Mailinglisten anmelden, zu finden unter folgendem Link:

http://insecure.org/

Du wirst dann täglich über die neusten Sicherheitslücken und Exploits informiert.

Ansonsten kannst du noch einige Webseiten besuchen, die stets aktuelle Inhalte bieten:

http://milw0rm.org/ (Exploits)

http://www.frsirt.com/english/ (Sicherheitslücken)

http://packetstormsecurity.org/ (Tools, Exploits, Papers)

Hier im Forum wird es auch bald eine ausführliche Security-Ecke geben, die dich stets auf dem Laufenden halten wird.

 

Was ist ein Intrusion Detection System (IDS)?

Dies sind Frühwarnsysteme, die das Netzwerk überwachen und nach verdächtigen Aktivitäten ausschau halten. 

 

Website Defacement

Es ist schon eine Art Volkssport geworden, das so genannte “Defacen” von Webseiten. Generell geht es darum, einen Server zu knacken und bestimmte Teile einer Webseite durch eigene zu ersetzten. Besonders beliebt ist dabei der Einbau von politischen Botschaften und eines eigenen Logos. 

Vor einigen Jahren, als der IIS4 noch ganz aktuell war, war das gleichzeitige verändern von hunderten Webseiten nicht selten. Dank spezieller Tools konnte man einen ganzen Server “hacken” (auf vielen Servern liegen ja hunderte Webseiten) und jede index.htm durch eine eigene ersetzen (Mass Defacement).

Obwohl bei diesem Defacement Server wirklich geknackt werden, wird nie richtigen Schaden angerichtet. Nur die Besucher dürften ein wenig verduzt drein blicken, wenn sie anstatt der gewohnten Webseite beispielsweise ein Totenkopflogo sehen 

 

Was ist diese FXP-Scene, von der alle sprechen?

- Nun ja, dies ist eigentlich kein richtiger Teil des Security-Bereiches. Es geht um das Knacken von Servern, damit man seine Raubkopien (Filme, Spiele usw) hochladen kann um anschließend anderen Leuten sehr hohe Downloadraten zu ermöglichen. Dabei werden die Dateien über das FXP-Protokoll von einem Server auf den anderen gespielt.

- FXP steht für File Exchange Protocol und ermöglicht den direkten Dateienaustausch zwischen FTP-Servern. Somit muss man nicht erst die Files herunter- und anschließend wieder hochladen. 

- Die häufigsten geknackten Server liegen im fernen Ausland und gehören beispielsweise Hochschulen, welche über eine sehr schnelle Internetanbindung verfügen.

- Wenn man ein Mitglied dieser “Scene” ist, kann man die neuesten Filme, Spiele usw meist einen Tag vor dem Erscheinen in den gängigen Tauschbörsen downloaden. 

- Diese “Scene” ist unter “normalen” Security-Leuten meist verachtet und begieht jedes Mal, wenn sie einen Server knacken, natürlich eine Straftat.

 

Was ist XSS // Cross Site Scripting?

XSS ist eine Art von Sicherheitslücke, welche das Ausführen von Code auf anderen Rechnern ermöglicht. Viele (z.B.) PHP-Scripte erlauben Benutzereingaben, die aber nicht richtig kontrolliert werden – was dem Einschleusen von Scripten quasi Tür und Angel öffnet. XSS-Schwachstellen können sich für Webseiten als fatal erweisen.

 

Was ist ein Honeypot?

Ein Honeypot ist ein Dienst, welcher Angriffe auf ein Netzwerk protokolliert. Dabei werden beispielsweise auf einem oder mehreren Computern in einem lokalen Netzwerk Dienste simuliert, welche für einen Angreifer von echten Anwendungen nicht zu unterscheiden sind. Da Angreifer die anvisierten Computer meist auf seine momentanen Dienste und mehrere Schwachstellen überprüfen, ist es unvermeidlich, dass auch die präparierten Dienste abgetastet werden. Diese protokollieren dann die Aktionen und melden eine potentielle Attacke.