Was ist ein Botnet?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
angriff
beispiel
bot
computer
datei
dienst
fakt
http
internet
leute
nachricht
netzwerk
port
programm
rechner
system
url
virus
windows
ziel
-
Hier mal ein lustiges Video, das auf sehr lustige Weise dieses doch eher kritische Thema erklärt.
http://whitepaper.heise.de/fileserver/whitepaperheise/files/27.flv
(Es ist zwar eigentlich ein Werbespot, aber der Anteil an Produktwerbung ist sehr klein)
Da das Video sehr oberflächlich ist, möchte ich noch ein wenig näher beleuchten, was es mit den Botnetzen auf sich hat.
Computer sind verdammt nützliche Maschinen und können für sehr viele, verschiedene Zwecke eingesetzt werden. Einige dieser Zwecke sind illegal und man sollte seinen Computer nicht für solche Dinge benutzen.
Es gibt jedoch Menschen, die Verbrechen begehen und dabei einen Computer benutzen. Allerdings hat ein einzelner Computer nicht umbedingt so viel Rechenkapazität, wie der Verbrecher es gerne hätte. Wenn er zum Beispiel 50 Millionen Spam-Mails verschicken will, kommt man mit einem einzelnen Rechner nicht sehr weit. Daher versuchen diese Kriminellen fremde Computer zu übernehmen und mit Trojanischen Pferden die fremden Rechner fernzusteuern.
Wenn ein Cracker(krimineller Hacker) dann einen Computer übernommen hat, hat der eigentliche Besitzer nicht mehr die volle Kontrolle über seine Maschine. Der Cracker kann mit dem Computer viele Verbrechen begehen und der Besitzer der Maschine ist ahnungslos.
Botnetze bestehen meistens aus tausenden kontrollierten Computern, die man als Zombies bezeichnet. Mit so vielen Rechnern ist es möglich Ziele im Internet sehr effektiv anzugreifen (DDOS-Angriff).
Daher sollte man sein System ausreichend absichern, um sicherzustellen, dass der eigene Rechner nicht zum Zombie wird und Kriminelle bei ihrerm Werk unterstützt.
Falls der eigene Rechner zum Zombie wird, kann es auch durchaus sein, dass man selber rechtliche Probleme gibt, da ein Botnetz auch dazu missbraucht werden kann, um illegale Dateien zu speichern und weiterzuverbreiten. Sollte die Polizei also bemerken, dass von deinem Internetanschluss illegale Daten kommen, wird dies problematisch für dich werden!
Weitere Informationen gibt es auf Wikipedia -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Nettes Video. Nur die Sache mit den Firewalls stört mich .. vor allem Norton ..
Was das Thema betrifft denk ich ist der hier verlinkte Thread am besten. Dort sind ja auch genügend Links vorhanden wie man sich ohne Firewall und Virenscanner sicher hält. -
Du könntest in deinem sehr gelungenen Post auch noch etwas genauer über die Störerhaftung schreiben, so dass dem Leser die Gefahr eines schlecht abgesicherten Systems (eigener Homeserver) bewusst wird. Vor allem im Hinblick auf Abmahnungen, welche nun schon von mehreren bekannten Personen in meinem Umfeld erhalten wurden, ist dies nicht zu vernachlässigen. Selbst "unschuldige" Internetnutzer sind ja davon betroffen, wobei dort auch als Grund gegebenenfalls ein "ungesichertes System" vorhanden sein kann.
Beitrag zuletzt geändert: 25.10.2009 19:53:10 von karpfen -
Für alle die nicht den komischen Link runterladen wollen.
-
geiles Video...
Norton-Security soll helfen?... ich dachte die Norton Firewall ist ne Einladung von Ahnungslosen DAUs an den Botmaster...
das ist aber mal Werbung, die Bildungsfähig ist... nciht wie andere Werbung... diese Werbung würde ich auch meinen Kindern zeigen... wenn ich denn welche hätte^^ -
Der Werbespot erklärt mal was, das finde ich gut!!! Net so wie die anderen Werbespots, die einfach nur ein "tolles" Produkt presentiert.
Aber von der Norton Firewall halte ich net so viel...
Aber an sonsten gut! -
sebulon schrieb:
. . .
das ist aber mal Werbung, die Bildungsfähig ist... nciht wie andere Werbung... diese Werbung würde ich auch meinen Kindern zeigen... wenn ich denn welche hätte^^
Seh' ich genauso. Der "Werbespot" ist schon mal besser als Galilieo... Bei dem Spot wird erklärt und nicht gelabert. Aber der allgemeinen Meinung über Norton kann ich mich nur anschließen: der Computer wird wahnsinnig langsam und wenn ein Update, oder sogar ein Datenscann fällig ist, wird man sich wünschen, seinen Computer treten zu dürfen... -
Also ohne hier irgendwen angreifen zu wollen, aber wieso ist diesr Thread sticky.
Das Thema wird auf keinster Weise erklärt und man merkt, dass es von Leuten gepostet wurden die auch hierüber keine Ahnung haben. Dies ist lediglich eine Feststellung. Im groben stimmt es etwa, aber die Art und Weise, wie die an eure Computer kommen, ist sehr ausgeklügelt und ihr merkt es noch nicht einmal. Selbst Firewalls oder Internetsecuritys wie Kaspersky helfen da nicht weiter.
Deswegen biete ich an einen Thread darüber zu schreiben, was Botnetze sind, wie sie funktionieren, wer dahinter steckt und vieles mehr. Aber Sachen falsch zu posten finde ich nicht gerade schön, vor allem weil dies einen falschen Eindruck darauf wirft, sodass man meint mit einer Firewall habe ich keine Probleme.
with best regards -
Firewalls nutzten eh nicht mehr oder die ganzen antiviren, wieso? Weil viele viren nicht detected sind. Crypters/Protectors!
Wer sich informieren will über Botnetze sollte mal bisschen deutsche security seiten besuchen...
-
smv-esg schrieb:
Das Thema wird auf keinster Weise erklärt und man merkt, dass es von Leuten gepostet wurden die auch hierüber keine Ahnung haben. Dies ist lediglich eine Feststellung. Im groben stimmt es etwa, aber die Art und Weise, wie die an eure Computer kommen, ist sehr ausgeklügelt und ihr merkt es noch nicht einmal. Selbst Firewalls oder Internetsecuritys wie Kaspersky helfen da nicht weiter.
Aber gerade die Tatsache, dass das Sammeln von Bots "sehr ausgeklügelt" ist, macht es schwierig das Thema auf eine Weise rüberzubringen, dass auch die Normaluser kapieren, was für eine Gefahr existiert. Die meisten User haben Angst davor, dass ein Virus ihren Rechner "kaputtmacht". Von Botnetzen ahnen prozentual nur sehr wenige User etwas.
Dieser Thread richtet sich mehr an Durchschnittsuser und nicht an Sicherheitsexperten.
Die Kritik an "Sicherheitssoftware" ist natürlich berechtigt und ich habe das Video im Eingangspost auch nicht unkommentiert gelassen.
Deswegen biete ich an einen Thread darüber zu schreiben, was Botnetze sind, wie sie funktionieren, wer dahinter steckt und vieles mehr. Aber Sachen falsch zu posten finde ich nicht gerade schön, vor allem weil dies einen falschen Eindruck darauf wirft, sodass man meint mit einer Firewall habe ich keine Probleme.
Das kannst du gerne machen. Wenn dieser Thread klar verständlich für Durchschnittsuser ist, fixe ich ihn gerne.
Beitrag zuletzt geändert: 7.4.2010 17:05:23 von bladehunter -
czg-style schrieb:
Firewalls nutzten eh nicht mehr oder die ganzen antiviren, wieso? Weil viele viren nicht detected sind. Crypters/Protectors!
Wer sich informieren will über Botnetze sollte mal bisschen deutsche security seiten besuchen...
welchse seiten wären das? gulli.com? oder heise.de?
gib doch mal bitte ne page, würde gerne auch auf dem laufenden sein :) -
Dieser Thread richtet sich mehr an Durchschnittsuser und nicht an Sicherheitsexperten.
Wenn dieser Thread sich an diese Leute richten soll, kann jemand villeicht mal typische "Symptome"
aufzählen, an denen ein Laie erkennen kann, dass sein PC ein BOT ist?
Also, wenn meine Firewall z.B. nicht erkennt, dass der PC als BOT verwendet wird.
Es können ja auch Programme sein, mit denen man so etwas herausfinden kann. -
inetandfun schrieb:
Dieser Thread richtet sich mehr an Durchschnittsuser und nicht an Sicherheitsexperten.
Wenn dieser Thread sich an diese Leute richten soll, kann jemand villeicht mal typische "Symptome"
aufzählen, an denen ein Laie erkennen kann, dass sein PC ein BOT ist?
Also, wenn meine Firewall z.B. nicht erkennt, dass der PC als BOT verwendet wird.
Es können ja auch Programme sein, mit denen man so etwas herausfinden kann.
Das ist so ein riesen Scheiß, was du da erzählst.
Keine Firewall erkennt, ob dein Rechner einem Botnet angehört!
Ich hasse so Leute die behaupten "Ich hab ne Firewall, mein Rechner ist jetzt sicher und wenn was passiert erkennt die das".
Bösen Traffic kann man eh nur via Sniffer erkennen, da hilft meist nichts anderes, wenn der Rechner schon kompromittiert ist.
Grüße,
Joseph -
virtual2 schrieb:
Das ist so ein riesen Scheiß, was du da erzählst.
Keine Firewall erkennt, ob dein Rechner einem Botnet angehört!
Ich hasse so Leute die behaupten "Ich hab ne Firewall, mein Rechner ist jetzt sicher und wenn was passiert erkennt die das".
Bösen Traffic kann man eh nur via Sniffer erkennen, da hilft meist nichts anderes, wenn der Rechner schon kompromittiert ist.
Grüße,
Joseph
Er hat auch nicht behauptet das seine Firewall es erkennt, oder irgendeine Firewall.
Vielleicht beim nächsten mal erst genau lesen, darüber nachdenken und dann was dazu schreiben.
So Kommentare wie "Ich hasse so Leute..." bringen auch nur Antisympathie ein.
Das mit dem Sniffern ist aber zumindest eine Möglichkeit, da sich dieser Thread aber an Durchschnittsuser richtet, fällt das wohl eher weg.
Ein Rechner der einem Botnetz angehört muss um seiner Funktion als Bot gerecht zu werden Daten versenden. Dies ist auch der beste Einstiegspunkt, den man sich nehmen kann um seinen Rechner im Blick zu haben.
Durch entsprechende Software zur Netzwerktrafficanzeige lässt sich recht schnell erkennen, wann der Rechner Daten aussendet, besser noch wenn man die zugehörige IP für seine Verbindungen angezeigt bekommt, wie es z.B. mit NetLimiter möglich ist. So kann man immer mal wieder einen Blick darauf werfen was der Rechner im Internet so macht während man nicht selbst surft oder Updates herunterlädt.
Wird die Internetverbindung ungewöhnlich langsam sollte man aufjedenfall zu solchen Programmen greifen um zu sehen was los ist.
Über die IP kann man per WHOIS abfrage (gidf.de) auch recht leicht das Ziel herausfinden, wenn diese nicht zum Softwarehersteller passt bzw. zur Seite die man besucht, sollte man stutzig werden.
Bei Seiten kann man auch einfach eine Pinganfrage auf die Webadresse machen, um die IP der Seite zu bekommen und vergleichen zu können.
Das sind einfache Schritte um Erkenntnis zu erlangen, überprüfen sollte man sein (Up 2 Date gehaltenes) Betriebssystem regelmäßig mit seinem Virenscanner, ist man stutzig geworden durch unbekannte ausgehende verbindungen oder bei einem fund der virensoftware sollte man weitere Virenscanner das System prüfen lassen.
Dazu gibt es zum Beispiel OnlineScanner (https://www.botfrei.de/scanner.html). Lässt sich ein Virus/Trojaner/etc. nicht entfernen beauftragt man einen Experten mit der Entfernung, oder Formatiert die gesamte Platte. Computershops bieten oftmals solche Dienstleistungen an.
Vorbeugen kann man durch Firewalls zumindest ein wenig und besser ein wenig als gar nicht. Die Verbindung ins Internet sollte man auch trennen wenn man sie nicht mehr benötigt. Der Gebrauch von Administratorkonten ist ebenfalls ein enormes Risiko für den Rechner.
Und wie immer gilt auf dem laufenden sein, Betriebsystem, Firewall und Virenscanner bei jedem Start auf Updates prüfen und durchführen.
Zum Video:
Ist ganz nett gemacht das Ende ist zwar etwas fragwürdig da einem eine Sicherheit erzählt wird die es so nicht gibt, aber im allgemeinen sehr informativ gemacht.
FG
Beda -
shadowhunter schrieb:
Vorbeugen kann man durch Firewalls zumindest ein wenig und besser ein wenig als gar nicht. Die Verbindung ins Internet sollte man auch trennen wenn man sie nicht mehr benötigt. Der Gebrauch von Administratorkonten ist ebenfalls ein enormes Risiko für den Rechner.
Naja, "ein wenig Sicherheit" im Gegensatz zu "Ich habe die Codebasis erhöht." Nicht wirklich sinnvoll, oder ? Selbst wenn eine Desktopfirewall vlt. ein ganz wenig Sicherheit bringen würde .. das steht nicht im Verhhältnis zu dem was an Code dazugefügt wird. Da kommt man mit ein paar einfachen Grundregeln genauso weit bzw. noch ne Ecke weiter. -
donnie-darko schrieb:
Naja, "ein wenig Sicherheit" im Gegensatz zu "Ich habe die Codebasis erhöht." Nicht wirklich sinnvoll, oder ? Selbst wenn eine Desktopfirewall vlt. ein ganz wenig Sicherheit bringen würde .. das steht nicht im Verhhältnis zu dem was an Code dazugefügt wird. Da kommt man mit ein paar einfachen Grundregeln genauso weit bzw. noch ne Ecke weiter.
Das klingt so als würde jede Firewall dem System Millionen von Sicherheitslücken hinzufügen. Ja Firewalls haben Sicherheitslücken so wie jedes andere Programm auch.
Soll ich also meinen Virenscanner auch weglassen weil er als Zugangspunkt für meinen Rechner benutzt werden kann oder besser noch den Windows Update Dienst ausschalten um selbiges zu vermeiden?
Bei solch einer Panik vor den Gefahren im Internet kann ich nur sagen deaktivier die Netzwerkverbindung, für immer.
Die Codebasis wird von jedem Programm erhöht und jedes Programm verursacht zusätzliche Schwachstellen. Allerdings ändert auch jedes Programm durch Updates seine Schwachstellen wieder, wodurch ein Schädling der solch eine Schwachstelle nutzt eine sehr beschränkte Funktionsdauer hat.
Fakt ist Firewalls können:
-deine Ports verschleiern
-den Datenverkehr überwachen und kontrollieren (die meisten zumindest)
Ob jemand diese zusätzlichen Sicherheitsmöglichkeiten nutzen will oder nicht, bleibt jedem selbst überlassen, jedoch lässt sich nicht sagen Firewalls würden einen angreifbarer machen als man vorher war. Dein Netzwerk bleibt schließlich gleich die Sicherheitslücken der Firewall nicht.
Einfache Grundregeln für diese Sicherheitsmöglichkeiten gibt es nicht für Durchschnittsbenutzer. -
Firewalls sind für normale Rechner prinzipiell unnötig. Ein normaler Desktop-PC sollte keine Dienste nach außen anbieten. Und wenn doch, dann sollte man lieber den jeweiligen Dienst so konfigurieren, dass er eben nur Verbindung mit Rechnern im LAN aufnimmt. Eine Firewall bekämpft da nur Symptome.
Die Kehrseite der Medallie ist natürlich, dass der Anwender auch dazu fähig sein muss, sein System ensprechend zu konfigurieren.
Fakt ist Firewalls können:
-deine Ports verschleiern
s.o. man sollte den Diensten lieber direkt beibringen nicht mit dem Internet zu reden.
-den Datenverkehr überwachen und kontrollieren (die meisten zumindest)
Computer sind doof. Das ist ein Fakt. Sie können gar nicht erfassen, welche Bedeutung die Daten haben. Entsprechend wurde an anderer Stelle bereits gezeigt, wie man z.B. einen Angriff mit falscher IP antäuscht und die Firewall hat diese IP dann geblockt. Zu dumm nur, dass diese IP identisch mit der des DNS Servers war, so dass keine Server mehr über die Domains gefunden werden können.
Und auch wenn sie für bestimmte Protokolle scanroutinen mitbringen: So what? Z.B. ein E-Mail Server wird allemal besser wissen, wie er mit komischen SMTP Nachrichten umgehen soll, als ein Firewall. Hier wird unnötig doppelte Funktionalität bereitgestellt, die die Angriffsfläche vergrößert. -
Das klingt so als würde jede Firewall dem System Millionen von Sicherheitslücken hinzufügen. Ja Firewalls haben Sicherheitslücken so wie jedes andere Programm auch.
Soll ich also meinen Virenscanner auch weglassen weil er als Zugangspunkt für meinen Rechner benutzt werden kann oder besser noch den Windows Update Dienst ausschalten um selbiges zu vermeiden?
Der letze Vergleich ist schlichtweg Blödsinn - Eine Updatefunktion ist in jedemfall SInvoll und bei JEDEM Betriebssystem zu nutzen.
Grade da sind Betriebssyteme von Vorteil mit denen man ALLE Programme des Systems updaten kann.
Zum anderen laufen Firewalls mit Userrechten - wenn die Firewall richtig schlecht ist, kann man darüber das System übernehmen.
Antivirensoftware kann auch nur für die Viren die es Daten hat funktionieren. Ist das Betriebssytem erstmal kompromittiert, hilft für eine restlose Entfernung nur eine Formatierung.
Bei solch einer Panik vor den Gefahren im Internet kann ich nur sagen deaktivier die Netzwerkverbindung, für immer.
Die Codebasis wird von jedem Programm erhöht und jedes Programm verursacht zusätzliche Schwachstellen. Allerdings ändert auch jedes Programm durch Updates seine Schwachstellen wieder, wodurch ein Schädling der solch eine Schwachstelle nutzt eine sehr beschränkte Funktionsdauer hat.
Das ist sicherlich richtig - da gibt es aber auch Beispiele im Bereich der Wirtschaft genutz wird, wo Software schlichtweg Tage / WOCHENLANG !!! mit alten Versionen betrieben wird weil niemand diese Software updatet oder weil (noch schlimmer) Firmen wie Adobe zu "faul" sind Update bereit zu stellen.
Siehe z.b. http://www.golem.de/1010/78351.html
Fakt ist Firewalls können:
-deine Ports verschleiern
-den Datenverkehr überwachen und kontrollieren (die meisten zumindest)
Ob jemand diese zusätzlichen Sicherheitsmöglichkeiten nutzen will oder nicht, bleibt jedem selbst überlassen, jedoch lässt sich nicht sagen Firewalls würden einen angreifbarer machen als man vorher war. Dein Netzwerk bleibt schließlich gleich die Sicherheitslücken der Firewall nicht.
Einfache Grundregeln für diese Sicherheitsmöglichkeiten gibt es nicht für Durchschnittsbenutzer.
Was genauso Fakt ist - wiso brauch ich einen offenen Port, den ich verschleier, wenn er geschlossen nicht ansprechbar ist ?
Das ist die Schiene auf den Sicherheitsmarketing betrieben wird.
Ich hab gehört, man soll seine Ports unsichtbar machen bzw. auf "stealthed" schalten, warum?
Wir wissen ja nun, dass man von einem geschlossenen Port spricht, wenn sich keine Anwendung beim Betriebssystem angemeldet hat, Pakete mit dieser Port-Nummer empfangen zu wollen. Wenn nun ein Paket eintrifft mit einer Ziel-Port-Nummer, für die sich keine Anwendung beim Betriebssystem angemeldet hat, dann schickt das Betriebssystem eine Nachricht an den Absender dieses Paketes, dass keine Anwendung dieses Paket haben möchte. Es gibt Menschen, die glauben, dass das Absenden dieser Nachricht gefährlich wäre und diese Nachricht unterdrücken z.B. mit einer sogenannten httpPersonal Firewall. Dieses Unterdrücken nennen Marketing-Fuzzis dann "Stealth-Modus". Warum das Senden einer Nachricht gefährlich sein soll, verstehen wohl nur die Menschen, die dieses unsinnige Marketing-Gebrabbel erfunden haben. In der ftpSpezifikation von TCP wird vorgeschrieben, diese Nachricht zu senden, aber zugegeben, es hört sich ziemlich cool an, wenn man voll stealthed ist. Außerdem darf man im Stealth-Modus bei einigen Anwendungen länger warten, das ist ja auch ein riesiger Vorteil und nebenbei hat man noch mehr Datenverkehr auf der Leitung, weil Anfragen mehrfach wiederholt werden, in der Annahme die Pakete gingen durch eine Störung verloren.
Quelle : http://www.oschad.de/wiki/Port
Wer sicher sein will, ohne das er Aufwand hat, muss dafür Leute bezahlen die das System sicher/er einrichten. Wobei ein Nutzer in Windows mit eingeschränkten Rechten kann auch Otto einrichten.
Links :
http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls
http://www.oschad.de/
und weitere die ich hier gepostete hab : http://www.lima-city.de/thread/wie-man-sein-system-ohne-virenscanner-sauber-haelt
Beitrag zuletzt geändert: 24.11.2010 0:36:33 von donnie-darko -
donnie-darko schrieb:
Der letze Vergleich ist schlichtweg Blödsinn - Eine Updatefunktion ist in jedemfall SInvoll und bei JEDEM Betriebssystem zu nutzen.
Grade da sind Betriebssyteme von Vorteil mit denen man ALLE Programme des Systems updaten kann.
Nächstes mal werde ich "rhetorische Frage" dahinterschreiben damit es Verständlicher wird.
donnie-darko schrieb:
Das ist sicherlich richtig - da gibt es aber auch Beispiele im Bereich der Wirtschaft genutz wird, wo Software schlichtweg Tage / WOCHENLANG !!! mit alten Versionen betrieben wird weil niemand diese Software updatet oder weil (noch schlimmer) Firmen wie Adobe zu "faul" sind Update bereit zu stellen.
Das die Programme auf dem neusten Stand gehalten werden müssen steht außer Frage, egal welches System.
Ist aber kein Punkt der gegen die Nutzung einer Firewall spricht, jediglich gegen das verwenden von Software die keine regelmäßigen Updates bereitstellt. Wenn ein Softwarehersteller zu selten Updates herausgibt muss man sich eben nach alternativen Herstellern umsehen, was anderes kann der Benutzer nicht machen.
donnie-darko schrieb:
Was genauso Fakt ist - wiso brauch ich einen offenen Port, den ich verschleier, wenn er geschlossen nicht ansprechbar ist ?
Das ist die Schiene auf den Sicherheitsmarketing betrieben wird.
Es sollte sein nur sieht die Realität nunmal leider nicht so aus, dass alle momentan nicht genutzten Ports geschlossen sind.
Desweiteren ist der Unterschied zwischen einem Port der den Status geschlossen hat und die Meldung geschlossen zurückgibt, zu einem der verschleiert (auch geschlossen) und gar nichts von sich gibt wohl leicht ersichtlich: Keine Rückmeldung an externe Anfragen.
donnie-darko schrieb:
Wer sicher sein will, ohne das er Aufwand hat, muss dafür Leute bezahlen die das System sicher/er einrichten. Wobei ein Nutzer in Windows mit eingeschränkten Rechten kann auch Otto einrichten.
Man muss eben niemanden bezahlen um ein sichereres System zu bekommen als die Grundkonfiguration es bietet.
Mit eingeschränkten Rechten zu arbeiten ist klar eine Grundregel, spricht aber auch nicht dafür keine Firewall mit im Betrieb zu haben.
Es will auch keiner die ultimative Sicherheit gegen alles, da es die nunmal einfach nicht gibt.
Computer sind doof. Das ist ein Fakt. Sie können gar nicht erfassen, welche Bedeutung die Daten haben. Entsprechend wurde an anderer Stelle bereits gezeigt, wie man z.B. einen Angriff mit falscher IP antäuscht und die Firewall hat diese IP dann geblockt. Zu dumm nur, dass diese IP identisch mit der des DNS Servers war, so dass keine Server mehr über die Domains gefunden werden können.
Den höheren Sinn von so einem Angriff seh ich gerade nicht. Da der Angreifer nicht wirklich viel dadurch erreicht.
Zudem ist so ein Angriff wohl nicht von einem Virus ausgeführt worden, oder war das System schon infiziert hat die dns adresse ausgelesen und sich dementsprechend konfiguriert?
Ein erfahrener Hacker kommt in jedes System rein, die Frage ist da nur kann ich ihn aufspüren und wieder rausschmeißen.
Sojemand hat auch bessere Ziele als einen Rechner eines Standardbenutzers, der wird sich seine Ziele wohl etwas höher stecken (Beispiel der Engländer der das System des Pentagons geknackt hat und nur entdeckt wurde weil er Ihnen eine Nachricht dagelassen hat).
Mit Datenverkehr steuern meinte ich eher Anwendungen die nach draußen wollen. (Bsp. A000009.exe versucht eine Verbindung ins Internet herzustellen möchten sie dies erlauben? Nein!)
Beitrag zuletzt geändert: 24.11.2010 1:18:36 von shadowhunter -
shadowhunter schrieb:
Es sollte sein nur sieht die Realität nunmal leider nicht so aus, dass alle momentan nicht genutzten Ports geschlossen sind.
Wenn der nicht benötigte Dienst nicht läuft, ist der Port auch zu. So einfach ist das eigentlich.
Das Problem sind da eher die Benutzer, die keine Übersicht darüber haben, welche Dienste laufen. Viel sinnvoller als eine Firewall wäre daher eigentlich ein Programm, das dem Benutzer mitteilt, welche Ports offen sind und welches Programm dahinter steckt.
Desweiteren ist der Unterschied zwischen einem Port der den Status geschlossen hat und die Meldung geschlossen zurückgibt, zu einem der verschleiert (auch geschlossen) und gar nichts von sich gibt wohl leicht ersichtlich: Keine Rückmeldung an externe Anfragen.
Dann kann der Dienst aber auch gleich komplett abgeschaltet werden. Oder eben so eingestellt werden, dass er nur auf Anfragen aus dem Netzwerk antwortet. Das ist um längen technisch unkomplizierter als eine Firewall damit zu beauftragen.
Computer sind doof. Das ist ein Fakt. Sie können gar nicht erfassen, welche Bedeutung die Daten haben. Entsprechend wurde an anderer Stelle bereits gezeigt, wie man z.B. einen Angriff mit falscher IP antäuscht und die Firewall hat diese IP dann geblockt. Zu dumm nur, dass diese IP identisch mit der des DNS Servers war, so dass keine Server mehr über die Domains gefunden werden können.
Den höheren Sinn von so einem Angriff seh ich gerade nicht. Da der Angreifer nicht wirklich viel dadurch erreicht.
Der "Sinn" ist dass der Rechner mit der Firewall nun praktisch vom Internet ausgeschlossen ist, weil er z.B. "www.lima-city.de" nicht mehr in eine IP übersetzen kann. Und die meiste Kommunikation über das Internet benötigt nunmal die Zuhilfenahme eines DNS Servers.
Zudem ist so ein Angriff wohl nicht von einem Virus ausgeführt worden, oder war das System schon infiziert hat die dns adresse ausgelesen und sich dementsprechend konfiguriert?
Nichts dergleichen. Vorrausgesetzt die Firewall ist wirklich so blöd, dann brauchst du nur die IP deines Opfers. Von dieser IP machst du eine whois Anfrage und kriegst so den Provider raus. Dann suchst du dir die IP des offiziellen DNS Servers von diesem Provider raus, denn die ist für gewöhnlich kein Geheimnis. Und danach täuscht du einen Angriff über ein UDP-basierendes Protokoll an, so dass du nicht deine richtige IP preisgeben musst. Die Firewall erkennt dann ein Angriffsmuster und sperrt die vermeintliche Absenderadresse. Und schon kann der Rechner keine Domains mehr auflösen.
Dieser Angriff funktioniert natürlich nur, wenn der User keinen alternativen DNS Server eingestellt hat.
Ein erfahrener Hacker kommt in jedes System rein, die Frage ist da nur kann ich ihn aufspüren und wieder rausschmeißen.
Unfug. Auch wenn es keine absolute Sicherheit gibt, ist noch lange nicht gesagt, dass ein System mit den Mitteln, die ein Angreifer hat, knackbar ist. Wenn das Ziel ein System ist, dass alle Sicherheitsupdates eingespielt hat, dann braucht man einen Zero-Day exploit. Und diese fallen nicht so eben vom Himmel und wenn man nicht seine eigene Gehirnkapazität belasten kann, kosten diese auf dem illegalen Markt ein Vermögen.
Sojemand hat auch bessere Ziele als einen Rechner eines Standardbenutzers, der wird sich seine Ziele wohl etwas höher stecken (Beispiel der Engländer der das System des Pentagons geknackt hat und nur entdeckt wurde weil er Ihnen eine Nachricht dagelassen hat).
Richtig. Hier kommt ja auch der Unterschied zwischen Hackern und Crackern zum tragen. Das Computersystem des Pentagons dürfte jedoch auch um einiges komplexer sein als das eines Heimanwenders und somit eine viel größere Angriffsfläche bieten. Ich wage daher zu behaupten, dass die Chancen in dieses Computersystem einzudringen deutlich höher sind, als wenn man versucht eine Kiste zu knacken, die von einem Computerexperten gehört und gepflegt wird. Die Verwendung von Zero-Day-Exploits wird bei dieser Betrachtung ausgeschlossen.
Auch wenn es vermutlich eine höhere Erfolgswahrscheinlichkeit gibt, ein großes System wie das Pentagon zu knacken, ist dafür die Wahrscheinlichkeit, dabei erwischt zu werden deutlich größer als bei einem privaten Computerexperten, da das Pentagon wahrscheinlich eine eigene Computersicherheitsabteilung betreibt.
Mit Datenverkehr steuern meinte ich eher Anwendungen die nach draußen wollen. (Bsp. A000009.exe versucht eine Verbindung ins Internet herzustellen möchten sie dies erlauben? Nein!)
Welche Art von Software könnte das denn sein, die du da blockieren willst? Trojaner würden sich definitionsgemäß jedenfalls in nützlichen Programmen verstecken und daher wirst du sie nicht entdecken, sofern das jeweilige Programm einen vernünftigen Grund hat, auf das Internet zuzugreifen. Und sei es nur, um zu prüfen, ob Software-Updates vorliegen, mit denen man Sicherheitslücken stopfen kann.
Beitrag zuletzt geändert: 24.11.2010 13:22:25 von bladehunter -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage