aribar
Goto Top

Frage zu Infizierung im Internet durch Sicherheitslücken

Hallo!

Ich habe allgemeine Fragen dazu, wie man sich durchs Internet mit Schadsoftware infizieren kann.

Was für Vorraussetzungen müssen erfüllt sein, damit es zur Infektion des Rechners kommen kann?

Also:

- Sicherheitslücke im Browser muss vorhanden sein?
- Sicherheitslücke in Windows reicht auch?? Wie soll man sich das vorstellen?
- Benutzerkontensteuerung von Windows muss umgangen werden??
- Geht das nur über Java Script?
- Geht das über ein PHP Script?
- Ist eine Infektion theoretisch möglich ohne dass der Bentzer aktiv ist, also nur wenn der Rechner mit dem Internet verbunden ist?


Der Conficker/Kido Wurm soll sich ja beispielsweise über eine Windows Sicherheitslücke verbreitet haben. Heißt das jetzt dass alle Windows Rechner mit dieser Lücke, die mit dem Internet verbunden sind, einfach so von dem Wurm infiziert werden konnten, oder mussten User dafür noch zusätzlich mit dem Browser auf die "falsche" Internetseite gehen?


Freue mich auf eure Antworten face-smile
Kommentar vom Moderator Biber am 02.05.2012 um 18:39:35 Uhr
Beitrag geschlossen (siehe Kommentar unten)..

Content-ID: 184247

Url: https://administrator.de/forum/frage-zu-infizierung-im-internet-durch-sicherheitsluecken-184247.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

106009
106009 28.04.2012 um 21:27:11 Uhr
Goto Top
Hi,

Informationsquellen gibt es im Netz wie Sand am Meer. Selbst suchen macht schlau.

https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/gefahren_node.ht ...

Gruß
Yuusou
Yuusou 28.04.2012 um 21:34:51 Uhr
Goto Top
Och Olli, warum gerade eine Quelle verwenden, die von unserer Regierung stammt? Warum nicht den klassischen Weg?

http://bit.ly/IsnYgT

Geht viel einfacher
brammer
brammer 28.04.2012 um 21:39:11 Uhr
Goto Top
Hallo,

@Yuusou

Das BSI ist zudiesem Thema nun wirklich nciht die schlechsteste Quelle.

Irgendwie habe ich nur den Eindruck das wir wieder mal Hausaufgaben machen sollen...

brammer
106009
106009 28.04.2012 um 21:45:57 Uhr
Goto Top
Zitat von @Yuusou:
Och Olli, warum gerade
Warum ein verkürzter Link? Hast du was zu verbergen oder war dir ein normaler Link zu kompliziert?
Warum ausgerechtet Google, kriegst du Prozente oder kennst du keine anderen Suchmaschinen?
Yuusou
Yuusou 28.04.2012 um 21:53:26 Uhr
Goto Top
Hallöchen brammer,

ich habe auch nichts anderes behauptet. Ich bin nur ein wenig erstaunt, dass nicht eine private Seite erwähnt wurde wie Wiki oder Heise.de.

Und ehrlich gesagt weiß ich nicht, was Aribar sich an möglichen Antworten erhofft hat. Es kann entweder hochkomplex oder total simpel erklärt werden. Und wie Olli schon sagt, gibt es dafür genug Quellen. Ich habe einfach nur Arbeit abnehmen wollen und Tante Google freut sich auch, wenn ich jemandem das Googlen beibringe. face-wink
Yuusou
Yuusou 28.04.2012 um 21:58:12 Uhr
Goto Top
Zitat von @106009:
Warum ein verkürzter Link? Hast du was zu verbergen oder war dir ein normaler Link zu kompliziert?

Link verkürzt, damit es nicht zu offensichtlich ist

Warum ausgerechtet Google, kriegst du Prozente oder kennst du keine anderen Suchmaschinen?

Okay dann halt Bing, ask.com, duckduckgo oder yahoo.de. Nur leider bieten die keine "let me ... that for you"-Funktion. Wenn doch, dann immer her damit.
Aribar
Aribar 28.04.2012 um 23:02:10 Uhr
Goto Top
Es ist keine Hausaufgabe, sondern mein eigenes Interesse . Ich habe auch schon zum Thema gegoogelt, aber bisher noch nichts richtig konkretes gefunden.

Von der BSI Homepage:

"So kommen die Schädlinge auf Ihren Rechner"
(...) Sie infizieren Webseiten mit schädlichem Code. Es kann vorkommen, dass seriöse populäre Webseiten von Cyber-Kriminellen gecrackt und mit Schadcode versehen werden, beispielsweise über einen eingeblendeten Werbebanner, der von einem anderen Server geladen wird. Wenn Ihr Rechner Schwachstellen hat, reicht es also aus, eine solche Internetseite zu besuchen, um sich einen Schädling einzufangen. Weil der Nutzer davon nichts bemerkt und auch gar nichts weiter dazu beitragen muss - etwa auf eine Datei klicken -, nennt man diesen Infektionsweg Drive-by-Download (also im "Vorbeifahren"). (...)


... tja das ist mir klar. Aber wie das konkret funktioniert, dass die Software auf meinen Rechner kommt und dann auch noch unbemerkt ausgeführt werden kann, da hab ich nichts zu gefunden. Ich dachte das könnte vielleicht jemand an nem kleinen Beispiel erklären ganz grob.


Ich konnte auch keine Informationen finden, ob man sich ohne im Browser aktiv zu sein, infizieren kann. Ich würde behaupten es geht nur über präparierte Websites die der User besucht.

Klar kann ich mich jetzt stundenlang in das Thema einlesen... Dachte es könnte vll jemand kurz und knapp erklären.
Yuusou
Yuusou 29.04.2012 um 01:36:30 Uhr
Goto Top
Alsooo: Nein, man muss nicht unbedingt eine Seite besuchen. Schon die Anwesenheit im Internet ist ausreichend. Viele hacken sich einfach durch die Gegend, ich kann mich sogar an eine c't Ausgabe erinnern, in der von Freeware die Rede ist, die einen Zugriff auf fremde Rechner ermöglicht, weil diese nicht ausreichend geschützt sind. Das geht schon mit den Firewalleinstellungen los und führt dazu, dass jeder Rechner ein offenes Scheunentor sein kann, wenn er bestimmte Ports offen hält bzw. bestimmte Dienste auf dem Rechner laufen.

Denke mal ein Stückchen weiter: Warum sind so viele Firmen gerade auf den Sicherheitstrip? Weil sich Hacker aus Ost bis Fernost in die Systeme hacken, Daten klauen, manipulieren oder gar löschen und am Ende noch ein Trojanerpaket als Geschenk dalassen, um stetig Zugriff auf die Daten und Server zu haben. Webbrowsing allein ist also nicht dafür verantwortlich. Allein die Verbindung ins Internet reicht aus.

Was das unbemerkte Ausführen von Schadcode angeht: Letztendlich reicht es bei einem Windowsrechner, die explorer.exe zu manipulieren, Autostarteinträge hinzuzufügen oder allgemein irgendwelche Dienste zu starten, die nicht zum Windowssystem gehören. Unerkannt sind die Programme selten, man muss nur auf die ausgeführten Programme, Dienste und Autostarteinträge (zu finden über msconfig) achten.

Dann rate ich jedem dazu, sich eine Boot-CD zu erstellen. Hiren's Boot CD ist derzeit mein Favorit und enthält ein bootfähiges WinXP mit einigen Antivirenprogrammen sowie unzähligen weiteren nützlichen Tools und Programmen. Auch wenn der Rechner mit Viren befallen ist, kann man getrost ins Internet mit dieser CD gehen um die ganzen Signaturupdates zu holen. Letztendlich muss ein Virus ja ausgeführt werden und da der Inhalt der BootCD selbst nicht verändert werden kann und das über die CD gestartete System nicht auf die eigenen Systemprogramme und Dienste zurückgreift, wird der Schädling in der Regel nicht aktiviert. Außerdem lässt sich der Schädling durch solche BootCDs effizienter löschen, da meist beim aktiven Zugriff auf Dateien der Schädling nicht gelöscht werden kann. Das kommt vor allem dann vor, wenn Viren im Kernel-Mode arbeiten, also als Teil des Systems angesehen werden und daher deren Dienste nicht beendet werden können. Ich habe aber schon lange nicht mehr von solchen Viren gehört.

Reicht das als Informationsmaterial?
danielfr
danielfr 29.04.2012 um 10:48:28 Uhr
Goto Top
... tja das ist mir klar. Aber wie das konkret funktioniert, dass die Software auf meinen Rechner kommt und dann auch noch
unbemerkt ausgeführt werden kann, da hab ich nichts zu gefunden. Ich dachte das könnte vielleicht jemand an nem kleinen
Beispiel erklären ganz grob.


Ich konnte auch keine Informationen finden, ob man sich ohne im Browser aktiv zu sein, infizieren kann. Ich würde behaupten
es geht nur über präparierte Websites die der User besucht.

Klar kann ich mich jetzt stundenlang in das Thema einlesen... Dachte es könnte vll jemand kurz und knapp erklären.
Das ist nun mal ein sehr komplexes Thema. Wie Script Kiddies simple Sicherheitslücken ausnutzen können, dafür gibts Anleitung wie Sand am Meer.
Wie man selbst Sicherheitslücken findet und dann selbst Exploits (Software die Sicherheitslücken ausnutzt) schreibt: Dazu gibt es zwar auch Anleitungen und Bücher, diese zu verstehen benötigt man halt nunmal viel Zeit und braucht sehr gute Kenntnisse z.B. für das OS, Assembler, Scriptsprachen u.v.m.. Ein Buch dazu ist z.B. "Hacking: Die Kunst des Exploits".
Es gibt für Schadsoftware viele Wege. Diese alle zu beschreiben und das auch noch allgemein, ist leider nicht so einfach.
Aribar
Aribar 29.04.2012 um 15:41:30 Uhr
Goto Top
Danke. face-smile

Gehen wir mal von einem lokalen Netzwerk hinter einem Router mit PAT aus. Ein aktiver Hacker kann vielleicht mit allen möglichen Tricks ins System eindringen und dort seine Schadsoftware ausführen...

Aber nehmen wir einen Internetwurm, der sich automatisch verbreitet, sagen wir über eine Sicherheitslücke in einem Windowsdienst. Dieser Wurm kann doch unmöglich einen der Rechner hinter dem Router befallen, ohne dass ein User dies aktiv zulässt. Seh ich das richtig so? Denn die Rechner sind ja hinter dem Router unsichtbar für den Wurm, er sieht zunächst nur den Router. Der Wurm weiß also gar nicht ob dort überhaupt Windowsrechner sind? Er müsst praktisch auf Verdacht Router angreifen und eine Sicherheitslücke genau für dieses Routermodell nutzen um eventuell auf einen angreifbaren Rechner zu treffen?


Edit:

Das sagt Wikipedia:

"Um einen Zugriff auf verbleibende Netzwerkdienste aus dem Internet heraus zu verhindern, sollten sie nicht an den Netzwerkadapter gebunden sein, der an dem Internet angeschlossen ist. Diese Aufgabe ist für einen Laien nicht ganz trivial, weshalb sich der Einsatz eines vermittelnden Gerätes, wie beispielsweise ein DSL-Router, anbietet. Dieses Gerät sorgt automatisch dafür, dass kein Netzwerkdienst aus dem internen (privaten) Netz direkt aus dem Internet heraus zugreifbar ist.

Statt des eigenen Computers wird in diesem Fall also der DSL-Router an das Internet angeschlossen, wobei die eigenen PCs wiederum mit diesem Gerät vernetzt werden. Das Gerät bildet die einzige Schnittstelle zwischen dem externen Netz (Internet) und dem eigenen (privaten) internen Netz. Die privaten PCs übermitteln ihre Anfragen an das Internet nun an den DSL-Router, welcher stellvertretend für die PCs auf das Internet zugreift. Das Zielsystem sieht daher als Absender nur den DSL-Router, der wiederum die Antwortpakete des Zielsystems an den entsprechenden PC im internen Netz weiterleitet.

Mögliche Angriffe aus dem Internet sind nun an den dafür prädestinierten DSL-Router gerichtet und treffen nicht direkt den internen PC. Jemand aus dem Internet, der auf der Netzwerkadresse des DSL-Routers nach einem Netzwerkdienst (wie z. B. die Datei- und Druckerfreigabe) sucht, wird nicht fündig, da der Dienst auf dem PC und nicht auf dem DSL-Router läuft. Auf diesem Level ist der DSL-Router also nicht angreifbar und die Netzwerkdienste der internen PCs aus dem Internet heraus nicht erreichbar.

Auch eine Schadsoftware, die womöglich auf dem PC heimlich einen Netzwerkdienst installiert, kann an diesem Zustand nichts ändern. Der Netzwerkdienst ist nur aus dem privaten Netz heraus ansprechbar, nicht jedoch aus dem Internet heraus (die Schadsoftware kann schließlich keinen Dienst auf dem DSL-Router installieren, sondern nur auf dem PC)."


Somit würde ich behaupten, dass Rechner hinter einem Router mit PAT (ohne aktiven User) ausschließlich von akitven Hackern infiziert werden können, die mit Tricks versuchen ins System zu gelangen.
Yuusou
Yuusou 29.04.2012 um 16:31:49 Uhr
Goto Top
Wenn es keinen Traffic gibt, gibt's auch nix abzuhören. Es könnten höchstens Bruteforce-Attacken sein, die sämtliche Varianten der PAT eines Routers, der auf ein Ping-Befehl antwortet, ausgeführen und irgendwann mal eine Antwort erhalten. Das ganze ließe sich also automatisieren. So wäre zumindest ein theoretischer Ansatz, inwieweit das praktisch verwendet wird bzw. werden kann, weiß ich nicht.

Letztendlich muss garantiert sein, dass der Router nach außen hin nicht reagiert, wenn intern nicht nach einem Internetdienst gefragt wurde.
drnatur
drnatur 29.04.2012 um 20:35:50 Uhr
Goto Top
hallo,

ich kann deine Neugierde gut verstehen. Das Thema ist auch eines, mit dem ich mich immer gerne beschäftige.
Und es stimmt - es gibt Anleitungen wie Sand am Meer, da die ganze Sache mit Schadsoftware usw immer auf den guten alten Kampf zwischen "Gut" und "Böse" hinausläuft, wobei die Rollenverteilung nicht immer ganz klar ist face-smile

Falls du aber wirklich nach konkreten Beispielen fragst, wie das geht mit den Sicherheitslücken und wie die ausgenutzt werden,
dann empfehl ich dir mal die Serie "Tatort Internet" von heise.de (siehe http://www.heise.de/security/artikel/Tatort-Internet-Alarm-beim-Pizzadi ..)

Da sind immer Sicherheitsprobleme, die den PC/das Internet/dich betreffen, recht nett beschrieben und in eine hübsche Geschichte verpackt.

Die Seite heise.de ist übrigens auch zu empfehlen (aber die wird hier sowieso allgemein bekannt sein)

liebe Grüße, drnatur
DerWoWusste
DerWoWusste 01.05.2012 um 23:54:59 Uhr
Goto Top
Moin.

Fragen zur Sicherheit lösen immer große Diskussionen aus, warum auch immer.
Du schreibst nichts über den Hintergrund Deiner "allgemeinen" Frage - was versuchst Du aus den Antworten zu entnehmen, was bezweckst Du?
Du stellst Fragen wie (analog zum Auto): Was kann einen Unfall verursachen?
-abgefahrene Reifen?
-überhöhte Geschwindigkeit?
-falsch eingestellter Rückspiegel?
-...

Also deutlich gesagt "banale Fragen". Wüsste ich jetzt, auf was Du hinaus willst, könnte ich vielleicht besser antworten, so wie gehabt, ist die Fragestellung eher ziellos und damit uninteressant.
Bei Deiner Antwort erläuterst Du dann:
Aber wie das konkret funktioniert, dass die Software auf meinen Rechner kommt und dann auch noch unbemerkt ausgeführt werden kann, da hab ich nichts zu gefunden. Ich dachte das könnte vielleicht jemand an nem kleinen Beispiel erklären ganz grob.
Das ist zwar noch nicht viel, aber doch immerhin eine konkretere Frage. Lies mal http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidba ...
Biber
Biber 02.05.2012 um 18:38:39 Uhr
Goto Top
Hmm, Aribar,

mir ist auch nicht ganz wohl bei der öffentlichen Diskussion von "Mich hat schon immer mal interessiert, wie ein XYZ funktioniert.."-Fragen zu so sensiblen Themen.

Wenn es "nur" für die Ideensammlung für ein Referat oder "nur" um die bessere Absicherung des heimischen Netzwerkchens in der dritten Etage geht...

-> dann ist die Frage ohnehin hinreichend beantwortet

Wenn der Hintergrund der Frage spezieller ist, dann sind auch schon "weiterführende Links" oder Literaturquellen benannt worden.

Ich möchte und werde den Beitrag hier gerne schliessen - gerade weil nicht klar ganz wird, ob und ab welcher Antwort-Ebene du einen Haken dransetzen wirst.

back-to-top### Closed ###


Grüße Biber