Menü
aus ein
Ansicht umschalten Baum an
Avatar von streaming
  • streaming

799 Beiträge seit 12.09.2005

Hier drin: wie ein Hack real aussehen kann

Kurzzusammenfassung:
Internetknotenpunkte könnten vom Staat so beeinflusst werden, das bei
einem normalen Internet-Verkehr einfach der Inhalt bei der
Übertragung geändert wird. Header bleibt (also nicht zu erkennen) und
das ganze kommt normal beim Browser mit.

Die Langfassung:
(Grüsse, ALOA, Piratenpartei)

http://forum.golem.de/read.php?14855,805919,805919#msg-805919
[quote] Ich denke auch, wie der FDP-Haushaltsexperte Jürgen Koppelin,
dass es sich bei diesem System um ein automatisiertes
Massen-Hack-System handelt.
http://www.heise.de/newsticker/meldung/82154

Der staatliche Massen-Hack dürfte über den deutschen
Internet-Austauschknoten DE-CIX von statten gehen.
Es ist schon auffällig, dass im Dezember DE-CIX auf Force10 Networks
E1200-Switches umgestellt wird und ab dem nächsten Jahr wird laut
Gesetz gehackt.
http://www.heise.de/newsticker/meldung/80021

Wer es noch nicht weiß: Force10 Networks bietet auch die P-Series für
das sogenannte rechtmäßie Abhören von Daten „Lawfully authorized
electronic surveillance“ an. In den USA hört die NSA mit diesem
Equipment den Internetverkehr ab!
http://futurezone.orf.at/hardcore/stories/112618/
http://www.force10networks.com/products/p-series_overview.asp

In der Produkt-Beschreibung der P-Series Heisst es:

“Assists with inspection and flexible capture for lawfully authorized
electronic surveillance and CALEA applications”
“the P-Series uses an innovative, new processing architecture to
simultaneously apply thousands of rules to each packet”

Und genau da setzt der Hack an. Der Unterschied zwischen einem
normalen Hacker der irgendwo weltweit vor dem PC sitzt und dem
Staats-Hacking besteht darin, das der Staat über dieses
Überwachung-Equipment die Datenpakete eines Users einsehen und sogar
verändern kann.
Diese Pakete, die an einen User zurück gehen haben Berechtigungen,
nicht nur über die IP-Adresse, sondern auch über die Port-Nummer,
Sequenz-Nummer und vor allem die Prüfsumme (checksum) im Header jedes
Paketes, wonach diese von der ausführenden Anwendung wieder
zusammengesetzt werden. Am Austauschknoten oder ISP wird der
Datenstrom der Zielperson inklusive Metadaten z. B. der User Agent
vom Webbrowser gescannt. Über dieses Verfahren kann festgestellt
werden, welches Programm und häufig auch welche Programm-Version
eingesetzt wird. Die P-Series Engine lauert jetzt auf ein
Internet-Programm des Users, das eine Sicherheitslücke aufweist und
für das im Einschleusungs-System Schädlinge auf Abruf bereitstehen.
Es ist anzunehmen, dass die Behörden für teures Geld Exklusiv-Rechte
von Sicherheitslücken bestimmter Software -Programme erwerben. Dafür
sind dann noch keine Updates vom jeweiligen Anbieter verfügbar.
Nun werden die Inhalte der TCP-IP Pakete am Austauschknoten einfach
durch den Staats-Trojaner ersetzt, der Header bleibt unangetastet. Es
ist selbstverständlich, dass diese Pakete an jeder Firewall auch
Router mit NAT etc. vorbeikommen, von SW-Firewalls ganz zu schweigen,
da diese Antwort-Pakete ja vom User bzw Software angefordert wurden
und z. b. der NAT-Router genau auf diese Antwort-Pakete zur
Port-Umsetzung wartet.
Und wenn die Pakete auf dem System sind, werden sie von der
jeweiligen ausgeführten Anwendung fein – säuberlich zusammengesetzt.
Da der Trojaner unter Verschluss gehalten wird und eine Wurm-artige
Ausbreitung nicht vorgesehen ist, wird dieser auch nicht durch
Anti-Viren-Firmen entdeckt und die Signatur des Schädlings für die
Anti-Viren Software nicht bereitgestellt.

Eins ist klar: Der Schädling dringt mit dieser Methode ganz tief in
das System ein, ohne das dies bei einer Internet-Nutzung verhindert
werden kann.
Die einzige Chance solch einen Angriff abzuwähren besteht nur, wenn
auf dem System jeder Schritt den ein Programm vollzieht, z. B.
Änderungen von System-Einstellungen.
bestätigt und unterbunden werden kann. In der Art von der Zonealarm
Firewall Einstellung: Advanced Program Control und Component
Controll. (Bei höchster Programm-Sicherheits-Einstellung. Wenn die
Häkchen alle gesetzt sind, muss wirklich jeder Schritt den ein
Programm macht und sei es nur der Zugriff auf den Explorer bestätigt
werden.
Gut sind auch Programme die in Echtzeit Veränderungen an Prozessen
beobachten, Wie Antihook oder Taskinfo. Mit Hardwarefirewalls und
Antiviren-Programmen die nach starren Signaturen arbeiten, hat man
gegen diese Form von Schädlingen keine Chance. Die einzige
Möglichkeit ist wirklich das System permanent auch nach kleinsten
Veränderungen zu überwachen.
100 Prozentigen Schutz kann dies allerdings auch nicht bieten, da
wahrscheinlich als erster Schritt des Staats-Trojaner
Sicherheitssoftware wie SW-Firewalls auf dem System angegriffen
werden

Warum will der Staat unbedingt Hacken?
Ganz einfach, er steht immer mehr vor verschlossen Türen. Heißt, es
wird immer mehr verschlüsselt z. B. durch VPN, Pgp. Staats-Hacking
löst auf einen Schlag alle Probleme eines Ermittlers. Er kann die
Kommunikation von Voice over ip z. b. Skype schon direkt auf dem
System abfangen. Verschlüsselte Laufwerke aufsperren mittels
Keylogger und Passwort Eingabe. Den gesamten Inhalt einer Festplatte
an eine berechtigte Stelle senden. Das Mikrofon im Headset zur
Raum-Wanze umfunktionieren. Die Webcam aktivieren. Bei Admins sich
Zugang zu Servern verschaffen. Und bestimmt noch hundert andere
Möglichkeiten. Achja natürlich, das Surfen in Klartext beobachten,
falls die Zielperson über Jap oder Tor surft.

Der Trend des Abhörens und Entschlüsselns direkt im Gerät umfasst
übrigens auch die Mobilkommunikation der neuesten Generation.

http://de.internet.com/index.php?id=2046552&section=Security
http://www.securstar.com/press_2006_10_31.php

Diese hoch-effektive Form der Überwachung steht erst am Anfang.

B.e.B [/quote]
Bewerten
- +
Anzeige