Angriff von innen
Technik und Abwehr von ARP-Spoofing-Angriffen
Gereon Ruetten, Oliver Stutzke - 20.01.2005
Nicht nur aus dem Internet werden PCs angegriffen, um Trojaner und Spyware zu installieren. Auch im LAN, beispielsweise in der Firma, versuchen bösartige Zeitgenossen Informationen auszuspähen. Verbindungen zum Homebanking-Server oder zur Online-Auktion lassen sich dort sehr einfach belauschen. Selbst geswitchte Netzwerke bieten keinen Schutz, wenn Angreifer die Verbindung mittels ARP-Spoofing über sich umleiten.
Zur Abwehr von Eindringlingen aus der Außenwelt ist in den letzten Jahren viel Aufwand und Geld in Sicherheitstechniken wie Firewalls, Content-Filter und Intrusion Prevention Systeme gesteckt worden. Der innere Schutz ist hingegen fast überall zu kurz gekommen. Gerade das lokale Netz ist aber meist das schwächste Glied [1]. Hier ist es ein leichtes, zu spionieren und zu manipulieren. Zwar sind auf vielen PCs Virenscanner und Personal Firewalls installiert, die schützen aber nicht gegen alle Angriffe und wiegen selbst erfahrene Anwender in falscher Sicherheit.
Arbeitsstation B kann durch Manipulieren der ARP-Caches die Verbindung zwischen Arbeitsstation A und dem Server über sich umleiten.
Neben Denial-of-Service-Attacken auf den PC des Kollegen oder auf den Firmenserver gehört das Mitlauschen von Datenverkehr zu den häufigsten Angriffsarten. In älteren Netzwerken, deren PCs über einen Hub miteinander verbunden waren, war nur ein Sniffer-Programm wie Ethereal notwendig, um sämtlichen Datenverkehr mitzulesen. Seit der Einführung von Switches ist das etwas schwieriger. Da der Switch nur noch Pakete an den Port mit der richtigen Ziel-MAC-Adresse weiterleitet, sieht man nur noch den eigenen Datenverkehr sowie uninteressante Broadcasts anderer Systeme. Oft halten selbst Netzwerkadministratoren dies für ein Sicherheitsfeature, das so unüberwindlich wie eine Firewall ist. Allerdings lässt sich ein Switch mit einfachen Mitteln austricksen: Mit sogenanntem ARP-Spoofing leiten Angreifer den Verkehr zwischen Geräte an anderen Ports einfach über den eigenen Rechner um und können so alle Daten mitlesen oder fälschen. Das ganze funktioniert sogar in den Rechenzentren vieler Webhoster, die dedizierte Webserver vermieten. Tests von c't belegen immer wieder, dass sich der Verkehr anderer Server auf den eigenen umbiegen lässt [2,3].
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
