|
|  |
 |
 TELEKOM |
 |
 |
|
|
|
Hintertüren im Windows-PCIm Internet lauern etliche Hacker-Tools. Das prominenteste Mitglied der Hintertür-Programme ist sicher Back Orifice 2000 (B02K). Weit weniger bekannt sind SubSeven, Hack'a'Tack, Deep Throat, NetSphere, NetBus und andere. Windows-Hintertüren gewähren einem Angreifer nahezu unbeschränkten Zugang zum Computer des Opfers - so liest man immer wieder. Diese Formulierung ist eigentlich noch zu schwach: Abgesehen vom vollständigen Zugriff auf alle Dateien und Systempasswörter ebnet ein solcher 'Femwartungszugang' auch den Weg ins lokale Netz oder Intranet, mit allen Rechten des Benutzers. Wer einen Multimedia-Computer mit Kamera und Mikrofon sein Eigen nennt, liefert dem Angreifer eine Überwachungsstation mit Bild und Ton.
Selbst Verschlüsselung und Sicherheitssoftware stellen keine nennenswerten Hindernisse dar: Die Hintertür liefert dem Angreifer alle Tastatureingabenfrei Haus. Protokollfunktionen können diese auch aufzeichnen, während man nicht online ist. Zusammen mit geheimen Schlüsseln oder Verwaltungsinformationen von der Festplatte hat der Angreifer somit alle Möglichkeiten, die auch der rechtmäßige Benutzer besitzt. Die Hintertüren können üblicherweise jede Software im Verborgenen starten - ohne sichtbare Fenster.
Der 'aufgebohrte' Computer kann auch zu Downloads benutzt oder ferngesteuert zu einem Server gemacht werden, der Spuren des Angreifers für weitere Aktivitäten verwischt. Abgesehen davon bieten die Hacker-Tools eine Menge harmloser Funktionen, die nur dazu dienen, den Anwender zu verwirren oder zu ärgern: Maustasten vertauschen, Bildschirm spiegeln, CD-ROM-Schublade aus- und einfahren, Sounds abspielen, Windows beenden oder abstürzen lassen und anderes.
'The Trojans Removal Database' (www.multimania.com/ilikeit/) verzeichnet über 50 Hintertüren mit ihren standardmäßigen Dateinamen und Registry-Einträgen. Die Begriffe vermischen sich zunehmend. Fernwartungssoftware erlaubt
Systemverwaltern und Support-Mitarbeitern Zugriff auf Computer, ohne daß sie
davor sitzen müßten. Trojanische Pferde stehlen im Hintergrund
Passwörter oder verrichten andere üble Werke, während der Anwender von einer
mehr oder weniger nützlichen Anwendung oder gar nur einer Fehlermeldung beim
Programmstart getäuscht wird.
Heute baut der ahnungslose Anwender unwissentlich selbst eine Hintertür in
sein System ein, während er ein Programm startet oder installiert.
Auch die 'offiziellen' Fernwartungs-Tools lassen sich so installieren, daß der
Anwender sie nicht bemerkt. Die NetBus-Hersteller werfen Symantec sogar
Geschäftsschädigung vor: Ihr Tool sei ein direkter Konkurrent von Symantecs
PCAnywhere, deren Virenscanner nenne NetBus aber ein Trojanisches Pferd
und verunsichere damit potenzielle Kunden.
Die Back-Orifice-Autoren vom 'Cult of the Dead Cow' richten ihre Kritik
hingegen an Microsoft, die in Sicherheitshinweisen zu ihrer eigenen
Fernwartungssoftware schreiben: 'Es ist möglich, eine Fernwartung so zu
konfigurieren, daß es niemals sichtbare oder nachweisbare Anzeichen für
bestehende Fernzugriffe gibt.' Entsprechende Möglichkeiten habe man auf
Grund von Kundenwünschen vorgesehen.
Die Hacker-Tools als 'ganz normales' Fernwartungsprogramm zu deklarieren, das
sich halt auch mißbrauchen läßt, ist allerdings auch nur die halbe Wahrheit:
Ob die Wahrscheinlichkeit für zusätzliche Hintertüren, die die Autoren für
sich selbst geschaffen haben, hier deutlich höher liegt als bei Software
kommerzieller Anbieter, sei dahingestellt.
Eine neue Qualität bieten hier allerdings die offen gelegten Quelltexte von
Back Orifice 2000: Jeder kann sich selbst davon überzeugen, daß die Hintertür
nicht zusätzlich ein echtes Trojanisches Pferd ist. Außerdem sinkt durch die
Begutachtung des Sourcecode die Wahrscheinlichkeit, daß Implementierungsfehler
unerkannt bleiben und zu Sicherheitslücken werden - das ist ein Wettbewerbsvorteil
gegenüber kommerzieller Femwartungssoftware.
Solange das Betriebssystern keinen Schutz vor unerwünschten Programmen und
versteckten Funktionen bietet, bleibt dem Anwender, der keine Hintertüren möchte,
nur der Griff zum Virenscanner. Die beste Antwort auf derartige Software bleibt
ein gesundes Maß an Mißtrauen: Kein Programm aus unbekannter Quelle ausführen,
keine ausführbare Dateien aus E-Mail-Anhängen zu starten, wenn eine Übertragung
nicht ausdrücklich mit dem Absender vereinbart war. Das gilt auch für persönliche
Bekannte - es gibt eine Reihe von Viren, die im Namen des Computerbesitzers
automatisch verseuchte Post verschicken. Und 'ausführbare Dateien' wird angesichts
makrofähiger Office-Dokumente und HTML-Mails mit aktiven Inhalten ein immer weiterer
Begriff: Wem die buntere Darstellung nicht sehr am Herzen liegt oder wer vertrauliche
Daten auf seinem Rechner hat, der sollte Word-Dateien, HTML und aktive Inhalte
(ActiveX, Java, Javascript, VBScript usw.) aus Mail-Client und Webbrowser rigoros
verbannen.
Siehe auch Erkennung trojanischer Pferde bei Windows
im dritten Kapitel.
|
|
|
|
|
|
