|
|
Voriges Kapitel | Nächstes Kapitel Endlich hineingekommenDoch so rasch wollte Robinus Marxus nicht aufgeben. Immerhin hatte er schon viel Zeit und Mühe investiert. Selbst wenn sein nächstes Opfer ebenso gut abgesichert wäre, müsste es sich nur in einem ihm besser bekannten Kulturkreis befinden, und er konnte es immer noch mit einem E-Mail-Attachment versuchen, in dem er einen Trojaner versteckte. Nur wollte er sich diesen Weg als aller letzte Möglichkeit aufheben. Würde er dafür nämlich ein bekanntes Trojanerprogramm verwenden, dann war die Gefahr zu groß, von einem Virenscanner erkannt zu werden. Und ein eigenes zu schreiben war wieder viel Arbeit. Bei der Auswahl des nächsten Zieles ließ er also das Kriterium des Kulturkreises mit einfließen. Das sollte ihm auch bezüglich der Zeitverschiebung etwas helfen. In die andere Richtung war es etwas einfacher. Grundsätzlich ging Marxus genauso vor, wie schon bei seinem ersten Versuch. Er stellte fest, welche Computer die Firma mit dem Internet sichtbar verbunden hatte, analysierte, welche Betriebssysteme und sonstige Software dort installiert war und welche Firewalls verwendet wurden, durchsuchte das Web nach bekannten Sicherheitsfehlern soweit er die Programme und deren Lücken noch nicht kannte, und besorgte sich die Tools zu den Bugs, zu denen er sie sich im ersten Versuch noch nicht organisiert hatte. Die heiße Phase des Angriffs auf sein zweites Ziel konnte beginnen. Offensichtlich waren die Systemadministratoren dieser Firma bei weitem nicht so gut, wie die der ersten. Schon die älteren Versionsnummern der Programme zeigten, dass sie sich weniger um die Rechner kümmerten, aber es stellte sich auch heraus, dass fast keine Patches eingespielt waren. Praktisch jede zweite bekannte Lücke war hier offen. Das galt es auszunützen. Mit dieser Information bewaffnet überlegte sich Marxus, wie er nun an interne Systeme herankommen konnte. Die Firma hatte einen E-Commerce-WWW-Server. Das war vielleicht ein guter Ansatzpunkt, auch wenn der Server in einem eigenen Netzwerksegment (DMZ) hinter einer Firewall stand. Viele dieser Server haben die Möglichkeit, auf interne Systeme zuzugreifen, weil sie von dort ihre Angebote holten, und zum Beispiel Bestellungen dort wieder ablieferten. Und erreichbar müssen sie auch sein, weil man sich sonst ihre Informationen anschauen kann. Außerdem mussten dort wohl ein paar Benutzernamen, und vielleicht auch Passwörter zu finden sein. Über einen bekannten Sicherheits-Bug und einem kleinen Tool, das er schon bei seiner ersten Zielfirma probiert hatte, gelang es Marxus interaktiven Zugriff auf den Web-Server zu bekommen. Von seinem Arbeitszimmer konnte er jetzt genauso arbeiten, wie wenn er vor einem Terminal des Web-Servers sitzen würde. Sofort holte er sich die Liste der auf diesem Rechner eingerichteten Benutzer und die zugehörigen verschlüsselten Passwörter. Er konnte seinen Computer in der Zwischenzeit damit beschäftigen, diese Passwörter zu knacken. Sie würden ihm jedenfalls helfen. Als nächstes untersuchte er, ob, und gegebenenfalls wie, der WWW-Server standardmäßig in das interne Netzwerk zugriff. Dazu analysierte er die am Server installierten Scripts und Programme. Dabei fand er heraus, dass der Server Datenbankabfragen über ein spezielles Protokoll SQLNet an einen Server im internen Netz richtete. Das half ihm aber nicht wirklich weiter, weil er keine Ahnung von SQL hatte. Natürlich konnte er sich jetzt über SQL schlau machen, aber es musste auch einfacher gehen. Robinus Marxus untersuchte als nächstes die Umgebung des WWW-Servers. Vielleicht gab es noch andere Computer gleich in der Nähe. Außerdem könnte es sein, dass vom Server in das Internet ein paar Lücken auf der Firewall bestanden, die es vom Internet nach innen nicht gab. Zu diesen Zweck installierte er seinen Proxy, wie er ihn für das Spurenverwischsystem einsetzte auch auf diesem WWW-Server. Damit konnte er wie gewohnt arbeiten, würde aber letztendlich die selben Ergebnisse haben, wie wenn er direkt vor dem WWW-Server sitzen würde. Die Analyse der Firewall vom WWW-Server aus gesehen lieferte keine hilfreichen Ergebnisse, aber in netzwerktechnischer Nähe fand er einen weiteren WWW-Server, den er aus dem Internet vorher nicht gesehen hatte. Die Namen und sonstigen Bezeichnungen auf diesem Rechner deuteten darauf hin, dass das ein Testrechner war, auf dem Entwicklungen für den operativen WWW-Server offensichtlich vorher ausprobiert wurden. Das war sehr interessant. Da ein Testsystem immer möglichst ähnlich zum Echtsystem sein sollte, hatte es natürlich auch die selben Sicherheitslücken, und es war überhaupt kein Problem für Marxus, sie zu diesem Computer weiterzuhacken. Hier gab es aber ein paar interessante Besonderheiten. Einerseits waren hier viel mehr Benutzer eingerichtet, als auf dem anderen Rechner, und daher auch viel mehr Passwörter herauszufinden. Auch diese Passwörter ließ er seinen eigenen Rechner versuchen herauszufinden, während er weiter arbeitete. Aber darüber hinaus befanden sich auf den Platten dieses Rechners auch eine ganze Menge Entwicklungswerkzeuge. Werkzeuge, die Entwicklungsarbeit erleichtern, erleichtern natürlich auch Entwicklungsarbeit für Hacker. Aber das aller schönste war, dass sich die Entwickler ihre Arbeit offensichtlich auch einfach machen wollten, und daher die verschiedensten Verbindungen von diesem Testrechner zu internen Computern über die Firewall erlaubten. Das war eine regelrechte Spielwiese für Marxus. Er konnte interne Rechner erreichen. Für eine Nacht war dieser Fortschritt hervorragend. Marxus hatte es geschafft, zumindest einen internen Computer seines Angriffsopfers zu erreichen. Genaugenommen war er drinnen, wie er jetzt damit weiter umgehen wollte, musste er sich erst genauer überlegen. Außerdem war es spät genug, schlafen zu gehen. Er entfernte noch alle Spuren auf den beiden WWW-Servern, die sich entfernen ließen - es war ihm bewusst, dass er auch auf der Firewall Spuren hinterlassen hatte, aber diese sollten sich aufgrund seines Spurenverwischsystems nicht zu ihm zurückverfolgen lassen - dokumentierte seine letzen Aktivitäten und ging schlafen. Am nächsten Tag nutzte Marxus jede freie Minute im Büro um zu überlegen, wie er weiter vorgehen konnte. Zunächst musste er unabhängig werden von dem Test-WWW-Server, der konnte jede Minute verschwinden oder geändert werden. Grundsätzlich sollte er überhaupt die beiden WWW-Server bei seinem Angriffsopfer nicht mehr benötigen. Das konnte er nur mit einem Trojaner erreichen. Er brauchte unbedingt im internen Netz seines Zielobjekts ein Stück Software, mit dessen Hilfe er jederzeit trotz Firewall eine Kommunikation zu internen Rechnern aufbauen konnte. Jetzt war Robinus Marxus in einer Zwickmühle. Würde er einen der Trojaner verwenden, die er sich aus dem Internet aufgetrieben hatte, war die Wahrscheinlichkeit relativ hoch, dass dieser auch von den Virenscannern erkannt werden würde. Wenn er jedoch zuerst einen eigenen Trojaner schrieb, könnte die Lücke, über die er in die Firma eingedrungen ist, in der Zwischenzeit geschlossen werden. So leicht ist es auch wieder nicht, ein Trojanerprogramm zu schreiben. Marxus entschied sich für einen Mittelweg. In der Nacht würde er zunächst einen der bekannten Trojaner mehrfach im LAN seines Opfers installieren, und danach wieder alle Spuren auf den Servern entfernen. Dann konnte er nur hoffen, dass entweder der Trojaner nicht gefunden würde, oder die Lücke, über die er eingedrungen war erhalten blieb, bis sein eigener Trojaner fertig gestellt sein würde. Genau das machte er in der Nacht. Die nächsten Wochen verbrachte Robinus Marxus damit, sein eigenes Trojanerprogramm zu schreiben. Dieses Programm war so gestaltet, dass es sich sehr gut auf dem Rechner versteckte, auf dem es installiert war, und das, obwohl es sich gleich mehrfach installierte, damit einmal entfernen nicht ausreichte, und dass es auch über eine Firewall unbemerkt kommunizieren konnte. Eine weitere, ganz wichtige Funktion bestand noch darin, dass es weitere Programmteile ganz einfach und praktisch unbemerkbar nachladen konnte. Als sein Trojaner fertig geschrieben und ausgetestet war, installierte ihn Robinus Marxus bei der Firma, die er zuletzt gehackt hatte. Weder der bekannte Trojaner, noch die Lücke, über die er ursprünglich eingedrungen war, wurden in den mittlerweile fast zwei vergangenen Monaten gefunden und geschlossen. |
|
23.08.2008 19:27
|