Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Den Hackern auf der Spur

Den Hackern auf der Spur

25. August 2005, 0:00 Uhr |
Fortsetzung des Artikels von Teil 1

Den Hackern auf der Spur (Fortsetzung)

Durchkämmen kompletter Netzwerke
Gefahren ergeben sich aber nicht nur aus dem aktiven Surfen im Internet. Jeder mit dem Web verbundene Computer ist potenzielles Ziel von Angriffen. Derartige Eindringversuche richten sich in der Regel nicht gegen einen ganz bestimmten Rechner, sondern durchkämmen mit spezieller Software das gesamte Web nach ungeschützten Rechnern (beispielsweise mittels Port-Scans über IP-Bereiche). Ungeschützte Rechner werden dann als ferngesteuerte Relaisstation für Angriffszwecke eingesetzt. Viele Benutzer entdecken sehr spät oder auch niemals, dass ihr Rechner als Basis für Angriffe fungiert.
Mit dem Symantec Security Check (http://security.symantec.com/ssc/home. asp?j=0&langid=de&venid=sym&plfid= 23&pkj=MUEXRWLPITSMJUIVFHP) lässt sich online und kostenlos eine Sicherheitsanalyse starten, die Prüfungen zur Netzwerksicherheit (ob ein Rechner beispielsweise unbekannte oder unautorisierte Internetkommunikation zulässt) sowie zur Verfügbarkeit von NetBIOS (ob Hacker auf die Informationen eines Rechners zugreifen können) durchführt. Darüber hinaus wird festgestellt, ob der überprüfte Rechner die Internetkommunikation unter Verwendung von Methoden zulässt, die von Trojanischen Pferden benutzt werden. Nach Beendigung der Analyse werden nicht nur Ergebnisse angezeigt, sondern auch Empfehlungen zur Verbesserung der Online-Sicherheit detailliert angezeigt. Auf der Internetseite http://www.priva-cy.net können im unteren Teil der Webseite (»IP Addresses at Network-Tools.com«) komplette Netzwerke IP-Nummer für IP-Nummer überprüft werden.

Identifizieren von Eindringlingen
Beim Einsatz einer Firewall bietet die Webseite aber auch Möglichkeiten, einem potenziellen Eindringling auf die Spur zu kommen. Alle gängigen Firewalls können abgeblockte Eindringversuche protokollieren und damit auch die IP-Adresse, von welcher der Angriff kam. Diese allein gibt noch keine Auskunft über den Hacker, allerdings gibt es im Internet insgesamt fünf regionale (erdteilweite) Registrierungsbüros (Regional Internet Registry = RIR), bei denen IP-Adressen registriert werden. Das sind so genannte Whois-Databases, über deren Suchroutinen man Informationen über die fragliche IP-Adresse bekommen kann.
Für Europa, den Mittleren Osten und Russland ist RIPE NCC (http:// www.ripe.net/perl/whois) zuständig,für Kanada und die USA ARIN (http:// www.ripe.net/perl/whois), für Lateinamerika LACNIC (http://lacnic.net/cgi- bin/lacnic/whois), für Asien und Australien APNIC (http://www.apnic.net/ index.html) und für Afrika AfriNIC (http://www.afrinic.net/cgi-bin/whois). An den Namen des Eindringlings kommt man auch über diese Datenbanken nicht direkt heran, da sie nur Details über die Netzwerke enthalten, welche den jeweiligen IP-Adressbereich benutzen, nicht jedoch über einzelne IP-Adressen und damit individuelle User.
Gibt man in die Suchmaske die fragliche IP-Adresse ein, bekommt man neben Informationen über das Netzwerk allerdings auch immer die Kontaktdaten (E-Mail-Adresse) des zuständigen Netzwerkadministrators. Übermittelt man diesem die IP-Adresse und die genaue Zeit des Angriffs (wichtig im Fall einer dynamischen IP-Adresse), kann dieser anhand seiner internen Protokoll-Daten den Computer, von dem der Angriff ausging, eindeutig identifizieren und entsprechende Gegenmaßnahmen einleiten.

Meist erwischt man nur ein Opfer
Sucht man nach dem Netzwerk eines wahrscheinlichen Angreifers, reicht es, die Suchabfrage irgendeiner der oben genannten Datenbanken zu benutzen. Fällt die fragliche IP-Adresse nicht in deren Zuständigkeitsbereich, bekommt man dies samt der URL zur korrekten Datenbank mitgeteilt. Der Autor konnte auf diese Weise eine Serie von Angriffen, von denen er betroffen war und die einen hohen Risiko-Index hatten, hinsichtlich des Betreibernetzes eindeutig identifizieren. Nachdem der zuständige Netzwerkadministrator kontaktiert worden war, hatte der Spuk innerhalb weniger Tage ein Ende.
In vielen Fällen jedoch erwischt man auch über den beschriebenen Weg nicht den tatsächlichen Hacker, sondern entlarvt lediglich einen der oben beschriebenen gekaperten Rechner, die zur Schadstoff-Schleuder umfunktioniert wurden und ferngesteuert werden.

  1. Den Hackern auf der Spur
  2. Den Hackern auf der Spur (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
Securepoint GmbH

Securepoint GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
AixpertSoft GmbH

AixpertSoft GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)