Site hosted by Angelfire.com: Build your free website today!

Hacker's Black book

 

13:20 23.06.99 (c)1999Frank Owens&l@tz@rus

Hacker's Black Book

This report is helpful in two different regard. It is to give the possibility to humans, who lost their password, of back-getting and for owners of Websites possible with protected contents of making it by application of simple techniques without long waiting periods to protect these contents.

 

Web masters, which know the techniques described in this report, have substantially better prospects to protect your Website surely from intruders.


Hacker's Black Book C copyright 1998.1999 walter Voell


Under the URL:

 

http://zaehlwerk.de/banner/secure/  the member range is to this report. There you find to utilities and Tools, in order to do the techniques over again described in this report.

 

 

Their Login: januar2000

 

Their password: xxx2345

 


 

 

 

Table of contents


 

 

 

Topic

 

Javascript password protection systems

 

HTACCESS Passwortschutzsysteme

 

Weak passwords

 

Direct chopping of the password file

 

The Admin Tools

 

Phreaken

 

Log in name checker

 

Log in generator not surely

 

Pictures not in protected listings

 

Pack Sniffing

 

Trojan horses - NetBus and BackOrifice

 

Tip of the author

 

Legal aspects

 

The career profile of the hacker

 

Anonymous working

 

My working environment

 

Important one left

 

 

 

 

 

 

 

 

 

Side

 

3

 

4

 

7

 

8

 

9

 

10

 

12

 

13

 

14

 

15

 

16

 

19

 

20

 

21

 

22

 

23

 

24


 


 

Javascript password protection systems

 

The simplest kind of password protection systems is the so-called JavaSeript protection. To enter requested the user when entering a side or when clicking a certain left in addition a password. This kind of protection is very simple and offers only a Minumum at protection. When regarding the HTML source code of the side then often a Javascript code is similar to the following:

 

< head><title > Website titles </title > < script><P >

 

function jproto() {

more pass=prompt("Enter your password", "passwords");

 if (passport = "nose bear") {

document.location.href=http://protectedserver.com/index.html;

}

else {

alert("password incorrect!" );

}

}

< script/>

</head><P >

 

As one sees, the entered password is compared and with correctness to indicated URL jumps. Now one sees, how the password was called and it can enter simply or select directly the goal URL.

 

Often also the password is used, in order to generate goal URL. For example could the secret goal URL http://members.protectedserver.com/members/hu8621s.htm, which Passwort"hu862ls" coded as part of the URL. The appropriate protective function in the HTML code of the side would look then as follows:

 

fucnction () {< P > jprot

 

pass=prompt ("Enter your password", "passwords");

document.location.href="http.//members.Proteetedserver. com/members/

"+pass+".html ";

}<P >

 

Here more protection than in exists the first variant, however the listings are by means of the HTTP server against bad would often not list the listing estimated. If one selects the URL directly by means of the Browsers http//members.protectedserver.com/members/ in the Browser, then one receives often a listing of all HTML sides in this listing, thus also the side, which is started over the Javascript password protection.


 

HTACCESS Passwortschutzsysteme

 

 

 

Nearly all Web servers used today control the so-called HTACCESS password protection. First it from the Apache Web server begun, meanwhile are however many other Web servers to the HTACCESS standard compatible. Therefore it is used also very frequently by so-called Paysites. E.G. the Websites www.playgal.com or www.hotsex.com uses this protective mechanism.

 

A Website, which uses HTACCESS, is to be recognized by the fact that with enter the member range a Popup dialogue appears (not Javascript-generated), which measured following looks:

 

 

 

 

PICTURE MISSING

 

 

 

 

In order to understand the function of this protection, one should know some Gmndlagen of the Unix operating system. Under Unix (and/or Linux, BSD etc..) and also under Windows Webservem like the Microsoft IIS the HTML documents are hierarchically in listing structures arranged and put down as also with a normal PC. One speaks here in particular of einer"Baumstruktur". The root of the tree (English "root") is the Domain without further information. For example www.ibm.com are the Domain and this are the root of the listing structure. If in the listing "secure" would lie now the HTML of documents and diagrams which can be protected, then now a HTACCESS file would have to be put down in this listing. The file must carry the name "htaccess" (with point before it). HTACCESS the file puts firmly in which file the passwords to be and on which kind the listing protect is. The HTACCESS file looks as follows:

 

 

AuthUserFile of /usr/home/myhomedir/passes

AuthName MyProteetedSite

AuthType basic

< limit GET POST OFFICE PUT >

require valid user

</Limit><P >

 


 

 

 

This HTACCESS file specifies that the password file is the file of lusr/homelmybomedir/passes on the server. The password file should not be appropriate for meaningful way in the range of the HTML Dokurnente, not be happenable thus via WWW. The options "AuthName" indicates, which designation in the PopUp dialogue is to appear (in the dialogue for example above "playgal").

 

 

Interesting to HTACCESS protection is that by the HTACCESS file also all sublists are along-protected underneath the listing, in which the HTACCESS file is. And this up to any depth. In our example one could put on secure "as many as desired further listings thus underneath the listing". These were protected all.

 

 

How now does the password file look? In the following one an exemplary password file:

 

 

 

 

robert:$1$4a$jrl0vdcrzytbpekrlbyzl/

manfred:$1$30$ddeyrldhykhuo654ke01i/

thomas:$1$sa$09grzec5vriww.qkla/ge/

 

 

 

 

 

For each member the password file contains a line, which consists of two parts, which are separate by a colon. The first part is the log in name, the second part contains the password in coded form. This coding is very safe. It is machine specific. That is, that even if one would get this password file into the fingers one would know from the coded passwords the real passwords does not back-compute. With the password input the password is coded by the Unix Systemfunktion"crypt("and compared with the coded password put down in the password file. If it is alike, then the Login is OK ONE)


 

Weak passwords

 

As one can recognize thus, it is very difficult to arrive in Websites, which are protected by means of HTACCESS. However some Web masters are simply too stupid to use the HTACCESS protection correctly and offer so to the aggressor some possibilities.

 

 

 

 

A weak password is a password that will easily guess can. Here some at the most frequent assigned username/password the combinations:

 

 

 

asdf/asdf 123456/123456 fuck/me

qwertz/qwertz qwerty/qwerty qlw2e3 abc123

 

 

 

Particularly the large Pay Websites, which has some thousand members, is very probable it that such "weak" passwords are thereby. In addition one must imagine that some members in many different Websites member are and do not want all possible passwords to note.

 

Therefore the name of the respective Website is also often selected of the members as password.

 

 

 

Example:

 

 

 

 

www.hotsex.com: username: hot, passwords: sex

www.hotbabes.com: username: hot, passwords: babes

 

 

 

 

Or the members use simply only their name. Are naturally interesting at the most frequent occurring name particularly:


 

 

In the American one for example

 

john/smith John/John Miller/Miller rick/rick franc/franc

 

 

and further more. In German naturally different name is more interesting.

 

 

That is also asked Login which can be noticed simply consisting of "username/passwords", as it irn password dialogue, occurs also frequently.

 

 

The weakest of all passwords is however the so-called "ENTER" - password. The Web master must be simply confirmed to any data with producing new member data simply without input once unnoticed its Toot by mistake started with the appearance of the password of dialogue, without at all something to enter, then evenly more solcher"leerer a" entry is in the password file.

 

 

 

 

 

 

 

 

 

To the engaged Web master the following safety tips address themselves:

 

 

 

 

 

o       producing "emptier" passwords prevent and control

o       the members not the passwords themselves to select leave, but one by coincidence generating (e.g. "kd823joq")

o       of case the customers its username/password combination to select may not permit, that the username equal to the password is.

o       direct chopping the password file

o       normally should not be possible it to arrive at the password file. In some traps it is however possible to come to it into the following traps:


 

 

Direct chopping of the password file

 

 

Normally it should not be possible to arrive at the password file.

In some traps it is however possible to come to it into the following traps:

 

 

The password file lies in public the HTML range of the Web server, thus in the listings, in which also the HTML documents accessible via WWW lie.

 

 

On the Web server have many user an own virtual Web server

 

 

The second case arises then, if the Website operator rents his Web server with a large Webspaceprovider, to that on a computer many further Web servers operates (e.g. www Web space service.de, www.webspace discount.de, www.simplenet.com etc..) Then it is possible to come to the password file if one has an account on the same computer and the password file is publicly readable. Then one by means of ftp or telnet can change into the listing, by that kept and reading its password file. By means of a Brute Foree password Crackers like "Crack V5.O" can be back-computed then the passwords. Das Programm braucht allerdings oft viele Stunden dazu und es fährt nicht immer zum Erfolg.

 

 

Für einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem Webserver betreiben, den er sich mit anderen Websites teilen muß.

 


 

 

Die Admin-Tools

 

 

Viele Webmaster der Paysites haben einen sogenannten "Admin- Bereich", der nur für sie selber gedacht ist. Dort erzeugen Sie neue Passwörter oder löschen alte Passwörter etc. Oft liegen diese Admin-Bereiche jedoch nicht in einem Passwortgeschützten Bereich. Die Webmaster denken nämlich, es würde ja keiner die URL ihres Admin-Tools kennen. Aber die URL ist manchmal einfach zu erraten. Oft heißt die URL

 

 

www.thepaysite.com/admin.htm

www.thepaysite.com/admin.html

oder

www.thepaysite.com/admin/

 

 

Man sollte auch weitere Namensmöglichkeiten austesten. Denn gelingt es, an die Admin-Seite zu kommen, so ist man natürlich am allerbesten bedient: Man kann selber so viele neue Passwörter hinzufugen, wie man möchte!


 

 

Phreaken

 

 

Unter "Phreaken" versteht man den einsatz von falschen Informationen, um sich bei einer Paysite als neues Mitglied zu registrieren. Das ist natürlich verboten und diese Hinweise hier sollen in erster Linie den Webmastem dienen, damit sie sich vor solchem Mißbrauch schützen können.

 

Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die Mitgliedschaft online via Kreditkarte bezahlt wird und danach sofortiger Zugang erteilt wird.

 

Phreaker benutzen dazu einen anonymen lnternetzugang. Dazu wird oft der Test-Zugang von AOL mißbraucht. Test-Mitgliedschaften finden sich nahezu in jeder Computerzeitung. Aber auch okay.net bietet sofortigen Zugang nach Angabe aller Daten. Dabei meldet man sich mit Phantasienamen und irgendeiner Kontoverbindung an, die man aus irgendeiner Rechnung oder sonstwo her kennt. Schon ist man einen Monat lang anonym via AOL oder okay.net im Internet unterwegs.

 

Desweiteren benötigt man eine "gültige" Kreditkarten-Nummer (vorzugsweise VISA oder Mastercard - in Deutschland Eurocard). An diese zu kommen, ist schon etwas schwieriger. Eine gängige Methode ist es, einen sogenannten "Credit-Card-Generator" wie z.b. "Credit Wizard" oder"Cardpro" oder"Creditmaster" einzusetzen. Ein Suchen mittels "metacrawler.com" und den Begriffen "Credit Card Generator" o.ä. bringt oft schon die gewünschten Programme.

 

Dazu sollte man wissen, daß die Online-Transaktionszentren nicht genau überprüfen können, ob eine Kreditkartennummer wirklich existiert und wem sie gehört. Es gibt lediglich bestimmte Algorithmen, um die Nummer und die Gültigkeitsdaten einer Kreditkarte auf eine gültige Struktur hin zu überprüfen. Daher kann man bei der Anmeldung beliebige Namen und Adresse angeben und eine der generierten Nummern. Allerdings liefern die Generatoren nicht das dazugehörige Gültigkeitsdatum.

 

Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummern mit richtigem Gültigkeitsdatum zu erhalten: Die meisten der obengenannten Programme bieten die Möglichkeit, aus einer real existierenden Kreditkarten-Nummer neue Nummern zu generieren. Dieses Verfahren wird"Extrapolation" genannant. Die generierten Nummern unterscheiden sich meist nur in den letzten Stellen und da die Kartennummern bei den Kreditkarten- Herausgebern in der Regel in aufsteigender Reihenfolge vergeben werden, haben die so generierten Kartennumrnern meistens das Gültigkeitsdatum der Karte, von der aus extrapoliert wurde. Folgendei Bildschirmauszug zeig den Extrapolationsvorgang:

 

Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer neue Kartennummern berechnen. Das Gültigkeitsdaturn ist dann mit größter Wahrscheinlichkeit bei den extrapolierten Nummern identisch mit dem Gültigkeitsdatum der eigenen, realen Kreditkarte.


 

 

Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, daß man ihn zurückverfolgen kann. Der Zugang mittels anonymer AOL-Testzugänge bietet maximalen Schutz. Steht kein solcher Zugang zur Verfügung' sollte ein "Anonymizer" benutzt werden. Einen solchen findet man beispielsweise unter www.anonymizer.com. Surf man über den Anonymizer, ist die IP-Adresse nicht zurückverfolgbar. Eine etwas schwächere Variante, seine IP-Adresse zu verstecken ist die, einen Proxy-Server zu benutzen. Die meisten lnternet-Zugangsprovider bieten die Möglichkeit an, Ober einen Proxy zu surfen.

 

 

Aber Achtung: Benutzen man seinen eigenen lnternet-Zugang, also keinen anonymen AOL-Zugang oder Anonymizer oder Proxy, so kann der Betreiber der Website, bei dem man sich mittels der falschen Kreditkartendaten anmeldet, mittels der IP-Adresse, die der Server protokolliert, herausfinden, wer ihn betrogen hat bzw. es versucht hat. Dazu braucht er lediglich Ihren Zugangsprovider zu kontaktieren und ihm die IP-Adresse mitzuteilen. Die Provider führen i.d.R. über die letzten 80 Tage ein Protokoll, wann wer mit welcher IP-Adresse online war.


 

 

Login-Name Checker

 

 

Manche Pay-Sites geben möglichen neuen Mitgliedern während der Anmeldeprozedur bereits vor der eigentlichen Zahlung die Möglichkeit, einen Mitgliedsnamen zu wählen. Ist der gewünschte Name bereits vergeben, wird dies mitgeteilt und man soll einen anderen Namen wählen. Gibt man beispielsweise "John" als Mitgliedsnamen ein, so sagt der Server meistens, daß der Name bereits vergeben ist. Das ist natürlich eine prima Voraussetzung für die oben genannten Tricks zum Erraten von Passwörtern. Denn nun weiß man, daß es zumindest den Namen "John" schon gibt, somit muß nur noch das entsprechende Passwort erraten werden. Das ist eine wesentliche bessere Ausgangslage, als wenn man Passwörter zu Useramen erraten muß, von denen man gar nicht weiß, ob sie Überhaupt existieren!

 

 

 

Als Webmaster einer Paysite sollte man also darauf achten, daß das Neumitglied erst nach verifizierter Zahlung seinen Usernamen wählen kann!

 


 

 

Login-Generator nicht sicher

 

Oftmals ist es so, daß das Neumitglied zur Zahlung von der Paysite zu einem Kreditkarten-Service geschickt wird (z.b. www.ibill.com). Nach Verifizierung der Zahlung kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu einem Formular geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied kann einen Usernamen und ein Passwort wählen und erhält nach wahl derer sofortigen Zugang. Das Formular fügt die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein oft gemachter Fehler: Geht man nach Erzeugung

 

eines Usemame/Passwort-Paares einfach mittels des "Back"-Buttons des Browsers zurück zum Formular, so kann man auf einfache und legale Weise ein weiteres Username/Passwort-Paar erzeugen und das immer wieder.

 

Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen:

 

Das Kreditkarten-Unternehmen sollte nach erfolgreicher Prüfung einen einmaligen PIN-Code übermitteln, den man dann aus der liste der noch gültigen PIN-Codes streicht und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genau EINMAL eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen auch als "One-Time PIN- Hardcoding" bezeichnet. Das Script, daß die Usemamen/Passwörter erzeugt, sollte auch mittels der HTTP-REFERRF-R-Servervariablen überprüfen, ob der User auch vom Kreditkartenuntemehmen kommt. Sonst kann ein gewiefter Hacker ein Script schreiben, das von seinem Rechner aus einfach solange verschiedene PIN-Nurninern ausprobiert, bis es eine noch gültige findet. Sind die PIN z.B. siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden, bis man eine gültige PIN findet, wenn das Scriptjede Sekunde eine PIN testct. Bei einer schnellen lnternelverbindung sind jedoch auch mehrere Tests pro Sekunde möglich!

 


 

 

Bilder nicht in geschützten Verzeichnissen

 

 

Dieser Fehler ist einer der häufigsten, da er leicht übersehen wird: Wie bereits erwähnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis und alle Unterverzeichnisse geschützt. Befinden sich die Bilder der Mitgliederseiten jedoch in einem Verzeichnis, das nicht in dieser geschützten"Baumstruk-tur" enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne Eingabe von Username/Passwort angesehen werden. Besonders einfach ist es dann, wenn das Bilder-Verzeichnis auch nicht gegen auflisten geschützt ist. Dann genügt das Eingeben des Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse haben oft den Namen "images" oder"gfx", "pic", "pix", "pictures ... .. pie ... .. graphics". Ein einfaches Durchprobieren mit etwas Phantasie führt hier bereits oft zum Erfolg.

 

 

Das.htaccess-File liegt im Geschützten Verzeichnis "members". Dort liegen auch die HTML-Dokumente für die Mitglieder. Die dazugehörigen Bilder liegen jedoch in diesem Beispiel im Verzeichnis "images," welches nicht in der members-Hierarchie ist und somit nicht passwortgeschützt ist. Handelt es sich beispielsweise um www.pornsite.com als root dieser Paysite, so kann im Browser einfach die URL www.pornsite.com/image eingegeben werden, und man erhält eine Liste der gesammelten Bilder (vorrausgesetzt, das Directory-Browsing ist nicht serverseitig ausgeschaltet).

 


 

 

Packet Sniffing

 

 

 

 

Diese Möglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es müssen einige Vorraussetzungen getroffen werden: Sie müssen in einem LAN (Ethernet-Netwerk) an einem Rechner sitzen und Root-Access haben. Dann kann man einen sogenannten "Packet-Sniffer" wie beispielsweise "SNOOP" einsetzen. Packet-Sniffer findet man meist als C-Sourcecode im Internet. Diese kurzen Sourcecodes muss man dann nur noch mittels gcc auf der UNIX-Shell compilieren und schon ist es möglich, die Pakete, die zu und von anderen Rechner im LAN gesendet werden, abzuhören. Denn Ethemet-Netzwerke setzen die sogenannte "Broadcast"-Technologie ein. Ein Paket, daß für einen Rechner in einem LAN bestimmt ist, wird im Prinzip an alle Rechner im LAN ausgesandt. Packet-Sniffing ist also wiederum besonders in den Fallen gefährlich, bei denen man bei einem Webspace-Provider seinen Webserver mietet und sich dort naturgemäß mit vielen anderen Kunden in einem LAN befindet. Ein Beispiel ist www.pair.com, einer der größten kommerziellen Webspace-Provider in den USA. Dort befinden sich über 70 Webserver in einem LAN, auf dem z.Zt. Ober 30.000 Kunden einen virtuellen Webserver betreiben!

 

 

Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines "Segrnenied Networks" an. Bei einem solchen Netzwerk wird nicht die Boradcast-Technologie benutzt, sondem die Pakete werden direkt mittels Rouling-Tabellen zu dem Ziel-Rechner geroutet. Eine besonders für Web-Smer geeignete Lösung ist der Einsatz von SSL (Secure Sockets Layer). Dies Protokoll ve@schlüsselt alle Pakete, die somit zwar noch abgefangen werden können, aber nicht mehr gelesen werden können. SSL wird von den meisten Webhosting-Unternehmen gegen geringen Aufpreis angeboten. SSL-Verschlüsselte Webinhalte sind am Protokoll-Prefix"hnps:/P'zu erkennen. Zum Betrieb einer SSL-geschützten Wcbsite muß man eine SSL-ID haben, die es beispielsweise bei www.verisipn.co gibt. Ein kleiner Nachteil ist jedoch, daß HTTPS-Verbindungen etwas langsamer sind als gewöhnliche HTTP-Verbindungen, da ein relativ hoher Verschlüsselungs-Overhead existiert.


 

 

Trojanische Pferde Back Orifice und NetBus

 

Back Orifice:

 

 

Die amerikanische Hackergruppe Cult Of The Dead Cow (http://www.cultdeadcow.com) veröffentlichte ein Programm mit dem Namen "Back Orifice", das sie als "Fernwartungswerkzeug für Netzwerke" bezeichnet. Daß die Intention eine andere ist, ergibt sich schon aus dem Namen: Back Orifice (hintere Öffnung) übersetzt man hier am besten mit "Hintertür", denn das Programm macht es fast zum Kinderspiel, Schindluder mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSoft's "Back Office"-System.

 

 

Das nur 124 KByte große "Server-Modul" läßt sich nämlich an ein beliebiges Windows-EXE-Programm koppeln, um es nichtsahnenden Anwendern unterzuschieben. Wird die Datei unter Windows 95 oder 98 ausgeführt, klinkt sich der Server quasi unsichtbar im System ein. Von diesem Moment an wartet das trojanische Pferd nur noch darauf, über das UDP-Protokoll geweckt zu werden.

 

 

Mit dem Client laßt sich bequem auf den befallen Rechner zugreifen. Unter anderem kann man das Dateisystem manipulieren (Dateien runterladen, hochspielen etc.), Tasks beenden, uvm. Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools bekannt; neu ist In erster Linie der Bedienungskomfort der grafischen "Wartungskomponente" -- wenige Eingaben und Mausklicks genügen, um Prozesse zu beenden, Tastatureingaben zu protokollieren, die Windows-Registry zu manipulieren oder IP-Adressen umzuleiten.

 

Einen interessanten Praxisbericht findet man unter der deutschen Adresse

 

http://www.puk.de/Back Orifice/default.html

 

oder

 

http://www.bubis.com/glaser/backorifice.htm

 

 

Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie BoDetect , (hitp://www.spiritone.coni/-cbenson/current_projects/backorificefbaekorifice.htm) oder das Programm BORF-D (http://www.st-andrews.ac.uk/-sjs/boredfbored.html)

 

Es ist aber auch manuell sehr einfach, Back Orifice zu entfernen: Öffnen Sie die Registry (regedit.exe ausführen) und schauen unter dem Schlüssel

 

HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

nach einem Eintrag mit dem Namen ".exe" (Default- Filename) bzw. mit einem Eintrag der Lange 124,928 (+/- 30 Bytes). Löschen Sie diesen Eintrag; er bewirkt, daß der "Back Orifice"-Server .bei jedem Windows-Start automatisch aktiviert wird.

 

Das Programm selbst liegt im allgemeinen im Verzeichnis "\Windows\System" und ist daran erkennbar, daß es kein Programm- Icon hat und eine Größe von 122 KByte (oder geringfügig mehr) besitzt. Sollten Sie die Datei aus irgendwelchen Gründen nicht finden, kann es Ihnen helfen, daß verschiedene Informationen als ASCII-String im Prgramrn-Code zu finden sind; so ist mit großer Wahrscheinlichkeit die Zeichenkette "bofilernappingcon" enthalten, die Sie über Suche im Explorer finden werden.

 

Zusätzlich zur "Back Orifice-Prgramm-Datel" wird im selben Verzeichnis noch die "WINE)LL.DLL" zum rnitloggen von Tastatureingaben installiert, die Sie auch sinnvoller Weise löschen, die aber alleine keinen Schaden anrichten kann.

 

Das Problem bei Back-Orifice ist, daß es schwierig ist, die IP-Adresse des Hosts zu erkunden, da diese sich ja bei jedem Einwählen des befallenen Rechners ändert. Dieses Problem gelöst, und eine noch mächtigere Lösung geschaffen hat Carl-Fredrik Neikter mit seinem Programm "Netßus", welches recht ähnlich ist. Es bietet noch weitgehendere Funktionen und ist einfacher zu installieren.

 

NetBus:

 

Nachdem Sie sich die entsprechende Datei hemngergeladen haben, sollten Sie diese entpacken. Nun erhalten Sie drei Dateien: NETBUS.EXE, NETBUS.RTF und PATCH.EXE

 

Bei PATCH.EXE handelt es sich um das gefährliche lnfizierungsprogramrn, das eigentliche Trojanische Pferd. Starten Sie diese Datei also nicht! D ie Datei NETBUS.RTF enthält eine kurze englische Anleitung des Authors. Die Datei NETBUS.EXE ist der "Client" mit dem Sie auf infizierte Server zugreifen können. Diese können Sie ohne Sorgen starten. Starten Sie zum Testen den Server auf Ihrem eigenen Rechner, indem Sie eine DOS- Eingabeaufforderung öffnen und im Verzeichnis von NetBus den Server mit dem Parameter,Jnoadd" starten, also

 

PATCH.EXE /noadd [RETURN]

 

Nun läuft der Server. Jetzt können Sie den Client starten (NETBUS.EXE doppelelicken) und auf Ihren eigenen Rechner' zugreifen. Wählen Sie dazu als Adresse "localhost" oder " 127.0.0. 1 " Wenn Sie den Server beenden wohlen, wählen Sie irn Client"Server Admin" und dann "Close Server".

 

Außerdem kann das Infizierungsprogramm so geändert werden, daß es die IP- Adresse automatisch an eine von ihnen gewählt Email-Adresse schickt, sobald jemand mit einem von NetBus infizierten Rechner in das Internet geht. Dies ist der gewaltige Vorteil gegenübe r Back Orifice. Dazu wählt man im NetBus-Client den Button "Server Setup" und gibt die entsprechenden Informationen ein. Schwierig ist es lediglich, einen freien Mail-Server zu finden, der Mails von jeder IP- Adresse akzeptiert. Dann wählt man "Patch Srvr" und wählt die zu patchende Infiziemngsdatei (standardmaßig "patch.exe").

 

 

 

Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach per Email an einen anderen lnternetnutzer schicken und die Datei als "Windows-Update" oder als irgendeine tolle lustige Anirnation bezeichnen. Die Datei kann dazu beliebig umbenannt werden (z.b. Win98update.exe oder siedler2_patch.exe etc.). Wird die Datei nun gestartet, passiert optisch garnichts. Jedoch hat sich der NeiBus-Server bereits auf dem Rechner versteckt installiert und wird von nun an jedesmal automatisc 'gestartet, wenn der Rechner gebootet wird.

 

 

Hat man obige Veränderungen am lnfizierungsprogramm vorgenommen, bekommt man nun immer automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald dieser online ins Internet geht. Diese IP-Adresse können Sie nun im Netßus-Client eingeben und den Rechner manipulieren.

 

 

Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei holmail.com oder maii.com gibt.

 

 

Um Ihr System zu schützen, empfiehlt sich Norton Antivirus http://www.symantec.de/region/de/avcenter/ welches neben NetBus auch Back Orifice erkennt. Sie können auch wiederum manuell arbeiten. Der automatische NetBus-Start ist in der Registry unter "\liKEY-LOCAL-MACHINESOFTWARF,\Microsoft\Windows\CurrentVersion\Run" eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren (patch.exe, sysedit.exe oder explore.exe sind einige bekannte Namen)

 

 

Weiterführende lnfo finden Sie unter

 

 

http://www.bubis.com/glaser/netbus.htm

 

 


 

 

Tip des Autors

 

 

Sollten Sie beabsichtigen, einen Passwortgeschützten internetservice zu betreiben, so kommen Sie nie auf die Idee, einen Microsoft NT- Webserver einzusetzen! Windows NT hat ein Sicherheitssystem, das mehr Löcher hat, als ein Schweizer Käse. Statt dessen sollten Sie ein Unix-Systein wählen. Leider bieten deutsche Webspacc-Provider größtenteils NT-Lösungen an. Hier heißt es also, Ausschau halten und ggf konkret bei einem Webspace-Provider nach einem Unix-Server fragen! Ein wesentlicher Vorteil eines Unix-Servers ist neben der Sicherheit der Vorteil, daß man sich dort auch per TELNET einloggen kann und so wesentlich mehr Kontroller über den Server hat. Bei NT- Servem ist dies nicht möglich! Empfehlenswert und preiswert sind besonders unter BSDI oder Linux laufende Webserver. Wie jeder weiß, ist Linux sogar kostenlos und Apache, einer der besten Webserver, ist ebenfalls kostenlos erhältlich. Außerdem sollte man auch die Performance-Vorteile eines Unix-Systems nicht unterschätzen. Besonders im Bereich Traffic-starker Webangebote wird fast ausschließlich Unix eingesetzt. Sollten Sie also beispielsweise ein Erwachsenen-Angebot mit vielen tausend Bildern etc. planen, so lege ich Ihnen den Einsatz eines Unix-Server wftmstens ans Herz. Eine interessante Website zum Thema"Unix vs. NT" findet sich unter

 

http://www.lat-mermany.com/maRazin/unix-nt.htm

 


 

 

Rechtliche Aspekte Was sagt das Gesetz zum "Hacken" ?

 

 

§202a Ausspähen von Daten:

1. Wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

 

§263 Computerbetrug: 1. Wer in der Absicht, sich oder einem Dritten einen rechtswiedrigen Vermögensvorteil zu verschaffen, das Vermögen eines Anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch Verwendung unrichtiger Einwirkungen auf den Ablauf beinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

 

§303a Datenveranderung: 2. Wer sich rechtswiedrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 3. Der Versuch ist strafbar.

 

§'303b Computersabotage: 1 .Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher bedeutung ist, dadurch stöhrt, daß er ... a) eine Tat nach $ 303a Abs. , 1 begeht oder b) eine Datenverarbeitungsanlage oder einen Datenträger zerstöhrt, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit einer Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. 2. Der Versuch ist strafbar.

 


 

 

Das Berufsbild des Hackers

 

 

 

1.Eine Pemn, die gerne die Details von programmierbaren sytemen erforscht und versucht, deren Möglichkeiten auszudehnen.

 

2. Jemand, der enthusiastisch (sogar obsessiv) programmiert oder lieber programmiert, als nur über Programme zu theoretisieren.

 

3. Eine Person, die hack values zu schätzen weiß

 

4. Eine Person, die gut darin ist, schnell zu programmieren

 

5. (missbilligend) Jemand, der sich hemmungslos überall einmischt und versucht Informationen aufzudecken, indem er herumschnüffelt. Daher Password Hacker, Networt Hacker.

 

 

Der korrekte Begriff ist Cracker (Aufbrecher),

 

Der Begriff Hacker'beinhaltel oft auch die Mitgliedschaft in der weltweiten Netz-Gemeinschaft (z.B. lnternet). Er impliziert, daß die beschriebene Person sich an die Hackerethik hält (hacker ethic). Es ist besser, von anderen als Hacker bezeichnet zu werden, als sich selbst so zu bezeichnen. Hacker betrachten sich selbst als eine Art Elite (eine Leistungsgesellschaft, die sich durch ihre Fähigkeiten definiert), allerdings eine, in der neue Mitglieder sehr willkommen sind. Daher verleiht es einem Menschen eine gewisse Beftiedigung, sich als Hacker bezeichnen zu können (wenn man sich allerdings als Hacker ausgibt und keiner ist, wird man schnell als Schwindler - bogus - abgestempelt).

 

Der Begriff hacken kann die freie intellektuelle Erforschung des höchsten und tiefsten Potentials von Computersystemen bezeichnen. Hacken kann die Entschlossenheit beschreiben, den Zugang zu Computern und damit Information so frei und offen wie möglich zu halten. Hacken kann die von ganzem Herzen empfundene Überzeugung einschließen, dass in Computern Schönheit existiert, dass die Ästhetik eines perfekten Programms die Gedanken und den Geist befreien kann... ...davon ausgehend, dass Elektronik und Telekommunikation noch immer zu großen Teil unerforschte Gebiete sind, kann überhaupt nicht vorhergesagt werden, was Hacker alles aufdecken können. Für einige ist diese Freiheit wie das Atmen von Sauerstoff, die erfindungsreiche Spontanität, die das Leben lebens- wehrt macht und die Türen zu wunderbaren Möglichkei- ten und individueller Macht öffnet. Aber für viele - und es werden immer mehr - ist der Hacker eine ominöse Figur, ein besserwisserischer Soziopahl, der bereit ist, aus seiner individuellen Wildnis auszubrechen und in anderer Menschen Leben einzudringen, nur um seines eigenen, anarchischen Wohlergehens willen. Jede Form der Macht ohne Verantwortung, ohne direkte und förmliche Überprüfungen und ohne Ausgleich macht den Menschen Angst - und das mit Recht.

 

The Hacker Crackdown


 

 

Anonymes Arbeiten

 

 

Du solltest niemanden die Möglichkeit geben, ein Profil von dir anzufertigen, dazu ist folgendes zu beachten:

 

 


 

 

Meine Arbeitsumgebung

 

 

Als Einwahlpunkt dient mir eine große Uni mit vielen Usern oder ein großer Isp. Ich verwende PPP statt normale Terminalprogramme um eine größere Kontrolle über meine Verbindung zu haben und weil es von Vorteil ist, über eine Leitung mehrere Sessions -Telnet, FTP- laufen zu lassen.

 

 

Ein kleiner Rechner dient mir als Firewall und Router, ich baue die PPP-Verbindung zu meinem Einwahlpunkt auf und überwache alle eingehenden Pakete. Desweiteren stelle ich mit SSH eine Connection zum Einwahlrechner her, um periodisch alle eingeloggten User und Netzwerkverbindungen zu verfolgen (was natürlich nur funktioniert, wenn der Einwahlrechner eine Unix-Maschine ist und kein Terminalserver o.ä.). Es ist sehr interessant zu sehen, was ein Administrator alles macht, wenn er merkt, daß etwas nicht mit rechten Dingen auf seiner Maschine vorgeht. Sobald mir solche Sondierungen/Untersuchungen auffallen, breche ich die Verbindung sofort ab, falls ich mich aber gerade in einer kritischen Lage befinde, muß ich DoS-Attacken benutzen oder den Admin aussperren, um seine Arbeit zu verlangsamen, bzw. zu verhindern.

 

Auf dem Einwahlrechner ist es nicht nötig, seine Gegenwart zu verschleiern, es ist besser, unauffällig in der Masse unterzutauchen als irgendwelche Logs zu manipulieren.

 

Der zweite, größere Rechner ist meine Workstation, von hier aus baue ich eine SSH-Verbindung zum ersten Anti-Trace Rechner auf Dieser Anti-Trace Rechner wechselt regelmaessig, liegt im Ausland und ich habe volle Kontrolle über ihn. Von hier aus gehe ich ueber ein weiteren Anti-Trace Rechner zu meinem Hacking-Rechner; auch hier habe ich natürlich 'root'-Rechte, der zweite AT-Rechner ist nur ein einfacher TCP-Relay, damit erspare ich mir den Stress mit den Logfiles eic. Vorn Hacking-Rechner gehe ich in sehr sichere Domains oder hacke von hier aus neue Net@erke (es existieren selbstverständlich mehrere dieser Rechner, die zudem unregelmäßig gewechselt werden), Zum Scannen benutze ich einen eigens dafuer gehackten Rechner, die Scanner sind hier alle gut versteckt und zusätzlich mit 3DES verschlüsselt.

 

Die verschlüsselten SSH Verbindung sind nötig, damit die Admins/Politessen nicht meine Aktivitäten am Einwahlpunkt (oder sonstwo) mitschneiden können.

 

Falls du nur einen Rechner zur Verfügung hast, dann kannst du dich natürlich auch mit der Firewall von Linux/FreeBSD/OpenBSD schützen. Es istjedoch komfortabler, die Verbindung über einen speziellen Computer zu beobachten (ich weiss nicht, inwiefern Linux und Co. einen zweiten Monitor an einem Rechner unterstützt).

 

Zusätzlich solltest du noch deinen Kemel patchen, damit er dir mehr infonnationen über eingehende Pakete liefert, somit bist du in der Lage, DoS Attacken, Source-Routing Angriffe, Traceroutes etc. und ihre Herkunft zu erkennen.

 


 

 

Wichtige Links

 

Weiterführende Informationen finden sich unter anderem hier

 

 

http://www.false.com/security

 

http://www.insecurity.org/nmap

 

http://www.secunet.com

 

http://geek-girl.com/bugtraq

 

http://rootshell.com

 

http://rootshell.com/doc

 

http://www.sparc.com/charles/seeurity.html

 

http://command.com.inter.net/-sod/

 

http://www.phrack.corn

 

http://www.cs.purdue.edu/coast/

 

http://www.pilot.net/security-guide.html

 

http://underground.org/

 

http://www.lOpht.com

 

http://www.infonexus.corn/-deamon9

 

http://www.cert.org

 

http://www.cert.dfn.de

 

ftp://ftp.blib.pp.se/pub/cracking

 

so Leute das ist doch relativ lehrreich oder? ich wollte das als Vorgeschmack benutzen damit ihr Lust bekommt mein FAQ zu lesen um es zu bekommen klickt auf

 

http://area66.notrix.de

 

oder

 

http://chc.notrix.net

 

oder mailt mir