ExoKrypt Wiki

B

Backdoors sind Programme oder Codestücke, die es dem Angreifer ermöglichen, eine Hintertür zu einem System zu erzeugen. Durch diese Hintertür kann er ab diesem Zeitpunkt ohne weitere Angriffe oder Maßnahmen auf das System zugreifen. Die Manipulation am System erlaubt es auch, weitere Schadsoftware aus dem Internet nachzuladen.

Backdoors sind nicht immer beabsichtigt, sondern können auch durch schlechte Programmierung oder Unachtsamkeit in ein Programm oder Betriebssystem gelangen.
Trojaner erzeugen nach dem Eindringen in ein System oftmals eine Backdoor, um weitere Malware unbemerkt auf das Zielsystem zu laden.

Blacklisting ist eine Technik, die in der Informatik oft eingesetzt wird. Beim Blacklisting werden beispielsweise E-Mail– oder IP-Adressen, die für ein Unternehmen und deren Kommunikation schädlich sind, in eine Blacklist eingetragen.
Jegliche Arten von Verbindungen zu diesen, auf der Blacklist eingetragenen IPs und E-Mail-Adressen werden unterbunden bzw. erst gar nicht aufgebaut. Spamfilter arbeiten oft nach einem Blacklist Prinzip und auch Kindersicherungen für das Surfen im Netz, setzen die Technologie erfolgreich ein.

In Firmennetzwerken wird Blacklisting auch gerne dafür verwendet, gewisse Webseiten im Netz für die Mitarbeiter zu sperren.

Bluejacking und Bluesnarfing bezeichnen beides Angriffe, die über das Bluetooth Protokoll ausgeführt werden. Bluesnarfing wurde Ende 2003 bekannt, als es Angreifern gelang über eine Bluetooth Verbindung Daten von Geräten zu extrahieren. Dabei mussten die Angreifer lediglich den exakten Dateinamen kennen.

Diese Lücke im Bluetooth Protokoll wurde recht zeitnah geschlossen. Bluetooth ist ein weit verbreitetes Protokoll und wird in vielen Geräten zur Kommunikation verwendet. Aus diesem Grund sind Lücken in derartigen Protokoll mit besonderer Vorsicht zu behandeln.

Ein wirksamer Schutz gegen Angriffe über Bluetooth ist das Deaktivieren der Verbindung, wenn sie nicht benötigt wird. Einfach jedoch effektiv.

Botnetze sind Vereinigungen von vielen einzelnen Computern, IoT Geräten oder auch Servern. Diese einzelnen Bots oder auch Zombies werden zentral von einem sogenannten Command & Control Server (C2C) gesteuert. Meist werden Benutzer und ihre Computer durch Trojaner und andere Malware infiziert. Bei IoT Geräten nutzen die Angreifer oft bekannte Schwachstellen in den Systemen oder schlecht konfigurierte Wartungszugänge aus, um die Kontrolle über diese zu erhalten.

Botnetze werden meist für sogenannte DDoS-Angriffe auf fremde Netzwerke und Systeme genutzt. Dabei senden, zentral durch den C2C Server gesteuert, alle Geräte zur gleichen Zeit Anfragen an das Ziel. Damit erreichen die Angreifer oftmals den Ausfall der Systeme und dadurch finanziellen Schaden beim Ziel / Opfer.

Botnetze können im Dark Web bereits für wenige € stundenweise gemietet werden. Einige der bekanntesten Botnetze der Vergangenheit sind:

• – Mirai
• – ZeuS
• – BredoLab
• – Grum
• – Conficker
• – Mariposa
• – Sality

Ein Bugfix bezeichnet das Beheben eines Softwarefehlers (Bug).

Bullet Proof Hosting bezeichnet das Bereitstellen von Hardware (Servern) für das Hosten von Webseiten, in rechtsfreien Ländern / Gegenden und / oder speziell gesicherten Gebäuden. Oftmals unterliegen diese Hoster keinerlei oder nur eingeschränkter Gesetzgebung und bieten somit ein Mekka für Kriminelle.

Der Grundgedanke hinter einem unantastbaren Webserver ist, gerade für Meinungsfreiheit und gegen Zensur ein starkes Werkzeug. Jeder sollte frei und ohne Kontrolle veröffentlichen können, was er will.
Der Hoster übernimmt lediglich die Bereitstellung. Der Missbrauch durch Kriminelle brachte Anbieter von Bullet Proof Hosting in der Vergangenheit allerdings in Verruf. Server die keiner Gesetzgebung unterliegen und die technisch schlecht angreifbar sind, lassen sich gut für allerlei Kriminelles nutzen. Beispiele dafür sind DDoS-Angriffe, Spam-Kampagnen, illegale Marktplätze, Foren und Etliches mehr.

Es gibt aber durchaus auch Anbieter, die zwar Sicherheit und Schutz der Daten in jeder Form anbieten, jedoch kein Auge zudrücken bei Straftaten.

Die Vorteile dieser Hoster liegen, im wahrsten Sinne des Wortes, im „Bulletproof“ Hosting. Meist untergebracht in verlassenen Bunkeranlagen, Militäreinrichtungen oder anderen gesicherten Bauwerken, bieten diese Hoster nicht nur Schutz vor digitalen, sondern auch vor physikalischen Angriffen. Verteilt auf mehrere Standorte, jeder einzelnen mit Notversorgung und höchsten Sicherheitsvorkehrungen, sind diese Anbieter bestens für Regierungen und andere potenzielle Ziele gerüstet.

BYOD, CYOD und auch COPE stehen für verschiedene Arten, mobile Endgeräte in Unternehmen einzubinden. Dabei unterscheiden sich die drei Typen anhand der Besitzverhältnisse.

C

CEO Scams sind ein lukratives Geschäft für Kriminelle. Die Angreifer haben es dabei auf das Geld von Unternehmen abgesehen. Meist werden Angestellte in der Buchhaltung oder der Finanzabteilung mit solchen gezielten Scam Mails attackiert.

Die Angreifer spoofen dabei die E-Mail-Adresse des Geschäftsführers / CEO des Unternehmens, um bei den Angestellten von Beginn an hohes Vertrauen zu erlangen. Die Inhalte der Mails erwecken den Anschein, eine anstehende Transaktion müsse besonders geheim gehalten werden. Auch setzten die Angreifer darauf, dass die Zielperson durch das ihr zugesprochene Vertrauen weniger Zweifel aufkommen lässt. Anschließend veranlassen die Angreifer meist eine Transaktion in großer Höhe. Auch die Herausgabe von Firmengeheimnissen bzw. Personaldaten kann Ziel eines solchen Scams sein.

Ein Beispiel aus der nahen Vergangenheit zeigt, dass diese Betrugsmaschen immer wieder erfolgreich sind:
Eine Buchhalterin einer großen Bäckereikette in Deutschland wurde Ende 2015 Opfer eines 1,9 Mio. € Scams. Dabei überzeugten die Angreifer die Dame, den gesamten Betrag an eine Firma mit Sitz in Hongkong zu transferieren.

Der Begriff Clickjacking beschreibt eine Angriffsmethode bei der dem Opfer vorgegaukelt wird, er klicke einen harmlosen Button oder ein Infofeld. In Wahrheit bestätigt er aber, unsichtbar im Hintergrund, einen ganz anderen Dialog. Diese Art des Betrugs findet oft auf mobilen Endgeräten Anwendung. Dabei werden verschiedene Layer über beispielsweise die Banking App oder das Bitcoin Wallet gelegt.

Der Benutzer denkt, er bedient gerade ein Spiel oder andere Anwendung, in Wirklichkeit bestätigt er aber gerade eine Transaktion an die Kriminellen. In neueren Version von Android ist das Überlagern von beispielsweise Systemeinstellungen nicht mehr möglich, da hier in Vergangenheit oft schadhafte Apps die Einstellungen so angepasst haben, dass sie mehr Rechte und weitere Funktionen erhalten.

siehe Data Injection

Session Hijacking beschreibt das Übernehmen einer bestehenden Sitzung eines Opfers mit einem Webserver oder einer Webanwendung. Um bei Webanwendungen und Portalen nicht jedes Mal das Passwort und den Benutzernamen eingeben zu müssen, speichern viele Seiten mittlerweile einen sogenannten Session-Cookie auf dem Rechner bzw. im Browser des Benutzers.
Jedes Mal wenn der Benutzer in der vordefinierten Session Time auf die Webseite kommt, erkennt die Seite ihn anhand des Session Cookies. Eine Passworteingabe oder ähnliches wird nach dem ersten Login nicht mehr benötigt.

Kriminelle nutzen dieses Konzept für mehr Komfort bei Benutzern aus, um sich unbemerkt Zugang zu den Netzwerken und internen Daten des Opfers zu verschaffen. Dabei zeichnet der Angreifer auf irgendeine Art und Weise den Session Cookie des Opfers auf oder berechnet ihn selbst. Anschließend gibt sich der Angreifer am Server oder der Webanwendung mit dem gestohlenen Cookie als das Opfer aus. Verfügt der Server nicht über geeignete Sicherheitsmaßnahmen und verlässt sich rein auf den Session Cookie und dessen Sicherheit,  kann der Angreifer sich als der eigentlich legitime Nutzer ausgeben und ist somit „eingeloggt“.

Der Name Cross-Site Scripting (XSS) stammt aus einer Zeit in der es möglich war, von einem Browser Tab oder Fenster den Inhalt eines anderen auszulesen. Also über „Cross“ Seiten „Site“ hinweg agieren und Informationen auslesen. Moderne Browser bieten guten Schutz gegen diese ursprüngliche Funktionsweise.

Heutzutage wird der Name für Angriffe benutzt, bei denen der Angreifer gezielt Schwachstellen in Scripten auf Webseiten ausnutzt, um seinen eigenen Code ausführen zu lassen. Im schlimmsten Fall gelingt es ihm, eines seiner Schadcode Stücke direkt in eine Webseite zu integrieren oder über Social Media zu verbreiten. Gekoppelt an harmlose Funktionen, werden die Schadcode Stücke im Hintergrund im Browser des Besuchers ausgeführt und Informationen, Daten und Passwörter an den Angreifer übermittelt.

Eine Spezialform des XSS Angriffs ist das Cross-Site Request Forgery oder auch Session Riding. Dabei nutzt der Angreifer die Tatsache aus, dass viele Webseiten den Browser bzw. den Besucher erkennen und ihm gewisse Komfort Features bereitstellen, beispielsweise das Eingeloggt bleiben auf Webseiten mit Login Bereich. Der Angreifer setzt darauf, dass sein Opfer auf einen von ihm erstellten Link klickt und somit das Script ausgeführt werden kann.

D

Data oder auch Code Injection bezeichnet eine Maßnahme bei der ein Angreifer versucht, Code / Daten in ein bestehendes Programm oder eine Webanwendung einzuschleusen. Oftmals begünstigt durch schlechte Programmierung, erlauben es anfällige Anwendungen Eingaben an Stellen vorzunehmen, an denen ein Dritter keine Änderungen vornehmen sollen könnte.

Weit verbreitete Angriffstellen und Protokolle die gerne von Kriminellen für Code Injection genutzt werden, sind unter anderem:

• – HTML
• – SQL
• – XML
• – LDAP
• – uvw.

Eine Spezialform der Code Injection ist die SQL-Injection. Hierbei versucht der Angreifer über Eingabe verschiedener Parameter und geschickt verschachtelter SQL Befehle, die Datenbank dazu zu bewegen, ihm Information und Datensätze zu liefern, die er eigentlich nicht zu Gesicht bekommen sollte.
Auch das löschen der Datenbank ist häufig ein Ziel des Angreifers, um den Betreiber der Website zu schaden. Hierbei setzt der Angreifer darauf, dass die Anwendung die Eingaben also den Input, welcher in der Datenbank gespeichert werden soll, nicht auf SQL-Steuerbefehle prüft. Anstelle einen Wert wie beispielsweise die E-Mail-Adresse bei einer Newsletter Anmeldung in die Datenbank zu schreiben, wird ein Befehl ausgeführt der alle gespeicherten E-Mail-Adressen ausgibt.

Ein Data Loss Prevention System (DLP) umfasst mehrere Komponenten und ist, abhängig vom Umfang, sowohl Hardware– als auch Softwarebasiert. Data Loss Prevention umfasst alle Maßnahmen, die davor schützen, dass Informationen und Firmengeheimnisse das Unternehmen verlassen. Dabei kann Software auf dem persönlichen Arbeitsrechner, an neuralgischen Punkten im Netzwerk, oder auf den Firmenservern zum Einsatz kommen. Auch spezielle Buchsen die verhindern sollen, dass USB Geräte angesteckt werden können, zählen zu Data Loss Prevention Maßnahmen.

Der E-Mail-Verkehr kann mit einer geeigneten DLP Software auf verschiedene Indikatoren untersucht werden und beispielsweise bei gewissen Schlüsselwörtern das Senden der Mail verhindern.

Das „Web“ besteht aus vielen Millionen Webseiten, Shops, Archiven, Foren, Profilen, und anderen Daten. Einige dieser Inhalte lassen sich über Suchmaschinen wie Google, Bing oder DuckDuckGo mit wenigen Eingaben finden. Doch das Internet besteht aus viel mehr Inhalten.

Das Internet, das viele von uns kennen und nutzen wird oft mit der Spitze eines Eisbergs verglichen.
Der Hauptteil liegt aber versteckt unter der Oberfläche.
Dieser Teil des Internets wird gerne als Deep Web bezeichnet.

Zu Deep Web zählen:

• – nicht öffentliche Profile
• – private Foren
• – Archive und Server die nur mit IP / genauer URL aufgerufen werden können
• – wissenschaftliche Datenbanken
• – „Intranet Seiten“
• – Cloudspeicher

Allgemein kann man sagen das alle Webseiten, digitalen Archive und Informationen, die nicht über eine herkömmliche Suchmaschine gefunden werden können, zum Deep Web gehören.

Das Darknet ist kleiner Bestandteil des Deep Webs. Dieser Teil des Webs kann nur mit spezieller Software „betreten“ werden. Tor (The Onion Router) ist eine der bekanntesten auf dem Markt.

Das Darknet wird in den Medien oft fälschlich mit dem Deep Web verwechselt. Im Zusammenhang mit Verbrechen und Kriminalität ist eigentlich immer das Darknet gemeint. Grund hierfür ist die Funktionsweise und der Aufbau dieses „Netzwerks“.

Im Darknet steht Anonymität an oberster Stelle. Anders als im restlichen Web ist das Nachverfolgen und zuordnen von Besuchern von Darknet Webseiten und Shops nur sehr schwer möglich. Um im Darknet einzelne Webseiten zu „finden“, muss man die genaue Adresse der Seite kennen. Es gibt zwar spezielle Suchmaschinen für das Darknet, die Ergebnisse und die Bedienung erinnern allerdings mehr an die Anfänge des Internets, als an das was wir heutzutage kennen.

Im Darknet findet man Webseiten, Foren und Shops mit:

• – Drogen
• – Waffen
• – Menschenhandel
• – Extremer Pornographie (Vergewaltigung, Kinder und anderes Krankes)
• – Kriminelle Dienstleistungen (Mord, Erpressung, Entführung)
• – Vermietung von Bot Netzwerken
• – DDoS auf Bestellung
• – Kreditkarten, Identitäten, Pässe, Ausweise
• – Hosting
• – Geldwäsche

Das Darknet hat aber auch weniger kriminelle und abstoßende Teile.
Gerade bei Personen, Gruppen, Vereinigungen und Interessensgemeinschaften die in Ihrem Land verfolgt, zensiert oder anderweitig eingeschränkt werden, wird das „Not-So-Dark-Net“ immer beliebter. Anonym und nach Bedarf durch viele Schichten geschützt, bietet das Darknet eine gute Plattform für Meinungsfreiheit.

Denial of Service (DoS) Angriffe haben zum Ziel, den angegriffenen Server oder Service außer Betrieb zu nehmen.

Das kann durch Überlastung der Services durch reguläre Anfragen geschehen oder auch durch gezieltes Senden von Paketen und Daten. In beiden Fällen wird der Server oder der Service für andere Benutzer nicht mehr erreichbar sein.

Oft werden solche Angriffe genutzt, um beispielsweise andere Attacken zu verschleiern oder auch erst zu ermöglichen.
DoS Vorkommnisse können auch „nicht-kriminellen“ Ursprungs sein. Beispielsweise würde das Downloaden von mehreren hundert Gigabyte über das Firmennetz wohl auch zu einem Denial of Service der internen Infrastruktur führen, da außer demjenigen der downloaded kein anderer mehr das Netzwerk benutzen könnte.

Eine Signatur ist die digitale Unterschrift eines Kommunikationspartners. Der Sender kann mit einer Signatur seiner Nachricht dem Empfänger bestätigen, dass wirklich er die Nachricht gesendet hat und nicht irgendjemand anderes. Die Signatur einer Nachricht oder Datei schützt diese NICHT vor Manipulation, hierfür werden Hashfunktionen verwendet.
Die Signatur ist einzig und alleine eine Authentifizierung eines Senders beim Übertragen von Informationen.

Eine Übertragung mit Signatur könnte wie folgt aussehen:

Alice schuldet Bob 100€. Alice möchte Bob diese Schuld in digitaler Form bestätigen. Dafür verfasst Alice eine Nachricht / Schuldschein, den sie mit ihrer eigenen Privaten Unterschrift unterschreibt. Anschließend wird die Nachricht an Bob übertragen. Bob kann nun mit Hilfe der Öffentlichen Unterschrift von Alice die Nachricht „entschlüsseln“. Wenn das Entschlüsseln der Nachricht erfolgreich war, weiß Bob mit Sicherheit, dass die Nachricht von Alice stammen muss. Denn die mit Alice Privatem Schlüssel unterschriebene Datei, kann ausschließlich mit Alice Öffentlichem Schlüssel korrekt „entschlüsselt“ werden (vgl. Asymmetrische Verschlüsselung).

Ein Distributed Denial of Service Angriff, kurz DDoS, hat dieselben Ziele wie auch der DoS Angriff. Anders ist jedoch die Masse an Anfragen bzw. Daten die durch einen DDoS Angriff erzeugt werden können. Im Gegensatz zum einfachen DoS, wo meist nur ein Gerät / IP zum Einsatz kommt, werden bei einem DDoS Angriff teils mehrere hunderttausend Geräte / IPs eingesetzt. Durch viele einzelnen Zombies in einem Botnetz können solche Angriffe mittlerweile über 1 Terrabyte an Datenverkehr auffahren. Das zwingt selbst Branchengrößen wie Amazon und Google in die Knie.

Eine spezielle Technik die den Angreifern hilft, noch mehr Datendurchsatz aus Ihren Zombies zu erhalten, nennt sich DDoS Ampflification. Dabei werden Dienste im Netz genutzt, die aus sehr wenig Input Daten, eine große Menge an Output automatisiert erzeugen. Open DNS Resolver sind solche Dienste. Sie ermöglichen es Angreifern mit einer relativ geringen Menge an Input Daten, eine sehr große Menge an Antwortsdaten zu erhalten. Gaukeln diese Anfragen nun vor, von einem anderen Server / IP zu kommen, schickt der DNS Resolver die riesige Menge an Antwortsdaten an das Ziel des Angreifers und sorgt so für einen DoS.

DNS Poisoning bezeichnet eine Angriffsart, bei der das Opfer beim Surfen auf Seiten umgeleitet wird die vom Angreifer kontrolliert werden. Dabei manipulieren die Angreifer gewisse Dateien auf dem Computer des Opfers, sodass beim ansurfen von beispielsweise www.google.de in Wirklichkeit eine andere Adresse aufgerufen wird. Diese andere Webseite sieht meist genauso aus wie das Original, beheimatet aber zumeist schadhaften Code.

Eine weitere, aber durchaus komplexe, Möglichkeit für Angreifer die DNS Auflösung zu beeinflussen ist ein direkter Angriff auf einen DNS Server. Dabei dringen die Angreifer in den DNS Server ein und manipulieren dort die Zuordnung von IP Adressen und URLs.

Angreifer haben in der Vergangenheit unter anderem auch direkt über die Domain Registration, Zugriff auf die DNS Informationen erlangen können. Dabei versucht man durch Brute Force, Social Engineering und anderen Methoden, Zugriff zum Domain Account / Hoster des Opfers bzw. des Ziels zu erlangen. Diese Art von Angriff wird Domain Hijacking „Entführen von Domain“ genannt.

Die DMZ ist ein Bereich in einem Netzwerk, der sowohl vom internen Netz, als auch vom Internet abgetrennt ist. Meist durch Firewalls geschützt, liegen in diesen Demilitarisierten Zonen oft Webserver oder E-Mail Gateways.

Der Vorteil einer DMZ ist ihre Sandbox artige Struktur und die Möglichkeit Daten zu analysieren, bevor sie in das interne Netzwerk gelangen.

Drive by Download bezeichnet eine Art von Angriff, die im Browser stattfindet. Dabei lädt sich der unwissende Besucher einer Webseite im Hintergrund eine bösartige Datei herunter, sozusagen im „Vorbei-Surfen“ (vgl. Drive by). Die Malware benötigt, um aktiv zu werden, allerdings einen unerfahrenen Benutzer der die Datei nach dem Download öffnet.

Bei einer Drive-by-Cache Attacke benötigt es keine Interaktion vom Nutzer, um die Malware zu aktivieren. Dieses Verfahren ist deutlich komplexer und erfordert Wissen und Können. Die Angreifer verteilen dabei über eine Webseite schadhafte JavaScript Programme, die im Cache des Browsers abgelegt werden. Von dort aus gelangen die Angreifer über eine Lücke im Browser in das Betriebssystem. Der Adobe Flash Player wurde und wird immer noch gerne als Schwachstelle ausgenutzt.

Dumpster Diving, zu Deutsch “Müllcontainertauchen“, bezeichnet eine Art der Informationsbeschaffung. Dabei gräbt der Angreifer sprichwörtlich ganz tief im Müll, um wichtige und sensible Informationen über sein Ziel zu erlangen. Kontoauszüge, Rechnungen, E-Mail Ausdrucke und vieles mehr kann dabei von Interesse für den Kriminellen sein.

Oft ist Dumpster Diving ein Teil der Informationsbeschaffung, um dann im zweiten Schritt durch beispielsweise Impersonation und Social Engineering Zugang zu einem Firmengebäude zu erhalten.

E

Ein Exploitation Framework ist eine Ansammlung von verschiedensten Werkzeugen, um ein System oder Netzwerk auf Schwachstellen zu testen. Dabei liegt der Fokus auf einem schnellen und breit-aufgestellten Testspektrum, weniger auf dem Unerkannt bleiben.
Exploitation Frameworks werden oftmals bei Penetrationstests im eigenen Netzwerk eingesetzt, kommen aber auch bei Kriminellen zum Einsatz.

Exploitation Frameworks machen sich die Tatsache zu Nutze, dass eine einzige Lücke in einem System oder Netzwerk bereits ausreichend ist, um Schaden anzurichten oder Information zu erlangen. Eines der bekanntesten Exploitation Frameworks ist Metasploit.

F

Firewalls können Hardware oder Software basiert eingesetzt werden. Sie kontrollieren den Netzwerkverkehr, sowohl vom Benutzer oder Netzwerk ausgehend, als auch alle eingehenden Verbindungen und Daten  (z.B. aus dem Internet) in ein Netzwerk oder direkt zum Endbenutzergerät. Des Weiteren können sie, richtig platziert, auch den gesamten Verkehr in einem Netzwerk überwachen. Man kann sich eine Firewall vorstellen wie eine Burgmauer mit verschiedenen Burgtoren. Jedes dieser Burgtore kann unterschiedlichen Daten und Protokolle analysieren und gegebenenfalls blockieren. Firewalls sind auch in der Lage, den Inhalt von Datenpaketen zu analysieren und ihn nach gewissen Regeln zu bewerten. Das kann hilfreich sein, um in einem Firmennetzwerk den Abfluss von Informationen zu entdecken oder aber den Mitarbeiter vor bösartigen Internetseiten zu schützen.

Herkömmliche Firewalls arbeiten auf der OSI Schicht 4 und verarbeiten hauptsächlich TCP und UDP Traffic. Neuer Geräte sind in der Lage noch deutlich tiefer in die Kommunikationsstrukturen Einblick zu nehmen. Sie arbeiten auf der OSI Schicht 7. Sie haben dadurch ein besseres Verständnis von den Daten und Paketen die sie analysieren und können so zuverlässiger arbeiten.
Diese sogenannten Next-Generation Firewalls werden oftmals auch als VPN oder Proxy in Firmennetzen verwendet.

Firewalls können in zwei Klassen unterteilt werden – Stateless Firewalls und Statefull Firewalls. Sie unterscheiden sich in ihrer Art, den Netzwerkverkehr zu analysieren.

Stateless Firewalls analysieren jedes einzelne Datenpaket welches verschickt wird individuell. Für die Firewall gibt es keinen Vorgänger und keinen Nachfolger, sie prüft nur das aktuelle Paket auf Auffälligkeiten.

Statefull Firewalls hingegen analysieren nicht nur einzelnen Pakete, sondern betrachten eine ganze Session, also eine zeitlich begrenzte Verbindung. Die Firewall wird aktiv, sobald Pakete zu anderen Zielen geschickt werden sollen, als für die Session vereinbart.
Man kann also sagen, eine Statefull Firewall hat einen besseren Überblick über das gesamte Geschehen, als eine Stateless Firewall.

FTPS steht für FTP over SSL, also File Transfere Protocol over Secure Socket Layer. Das ähnlich lautende SFTP Protokoll hingegen nutzt SSH für die Übertragung von Daten. Der Hauptunterschied zwischen den beiden Daten Übertragungsprotokollen ist folgender.

Bei SSH FTP (SFTP) hat der Nutzer die Möglichkeit, auf dem Zielserver ein komplettes File System nutzen zu können. Das bedeutet er kann Dateien löschen und hinzufügen und weiter Funktionen verwenden, die man aus dem heimischen Betriebssystem kennt.

Unter einer Full Disk Encryption versteht man die Komplettverschlüsselung einer Festplatte, eines Speichers oder einem anderen Datenträger. Hierbei werden nicht nur einige Ordner und Dateien verschlüsselt, sondern das gesamte Dateisystem.

Zur Entschlüsselung kann ein PIN, Passwort, USB-Stick oder eine Chipkarte eingesetzt werden. Erst wenn das System den richtigen Schlüssel präsentiert bekommt, kann auf Daten zugegriffen und das System genutzt werden.

G

Geofencing bezeichnet das standortbasierte aktivieren bzw. deaktivieren von Funktionen, beispielsweise auf einem Mobiltelefon. Sobald das Gerät einen gewissen Standort (GPS-Position) verlässt, oder einen gewissen Bereich betritt, werden Funktionen wie die Kamera oder das Wlan deaktiviert bzw. aktiviert.

Unternehmen nutzen die Möglichkeiten des Geofencing gerne, um mobile Endgeräte sicherer zu machen. Mitarbeiter können sich beispielsweise nur ins Firmennetzwerk einloggen, wenn ihr Gerät auch tatsächlich in einem gewissen Radius um die Firma herum lokalisiert werden kann.

H

Ein Hardware Security Module ist ein spezialisiertes Hardware Gerät, mit dem man sicher kryptografische Schlüssel erzeugen und speichern kann. Solche HSM werden oft in großen Netzwerken oder Serverlandschaften eingesetzt. Sie übernehmen die rechenaufwendigen Prozesse der Schlüsselerzeugung für beispielsweise Webserver. Durch ihre spezialisierte Bauweise sind sie effizienter in der Erzeugung und Verarbeitung von kryptografischen Schlüsseln, als andere Server. Des Weiteren besitzen HSM einen gesicherten Speicher in dem die Schlüssel, von außen unzugänglich, aufbewahrt werden können.

Viele HSM verfügen über komplex gesicherte Random Number Generatoren. Diese erzeugen echt zufällige Zahlen, die für die Erzeugung von starken kryptografischen Schlüsseln benötigt werden.

Ein Hashwert oder kurz Hash ist das Ergebnis einer Hashfunktion. Eine Hashfunktion macht einfach ausgedrückt nichts Anderes, als einen beliebigen Input in einen in der Länge festgelegten Output zu verwandeln. Man kann sich eine Art Quersumme / Prüfsumme einer Datei dabei vorstellen, um ein Gefühl dafür zu bekommen.

Die Hashfunktion nimmt beispielsweise eine Datei und berechnet in verschiedenen Schritt einen Hashwert, meist in Form eines Hexadezimalen Ergebnisses.

Die Datei kann nun nicht mehr ohne Wissen verändert werden, denn man kann zu jeder Zeit selbst den Hashwert berechnen und bekommt ausschließlich dann dasselbe Ergebnis, wenn die Datei exakt die selbe ist. Es gibt verschiedene Arten von Hashfunktionen, einige der bekannteren sind SHA oder MD5.

Hashfunktionen müssen gewisse Anforderungen erfüllen:

• – Hashfunktionen müssen Einweg-Funktionen sein.
  (Aus dem Hashwert darf man nicht die Datei / Klartext Nachricht reproduzieren können)
• – Hashfunktionen müssen kollisionssicher sein
  (Für zwei unterschiedliche Dateien, darf nicht dieselbe Prüfsumme / Hashwert entstehen)

Computer Hoaxes sind falsche Warnungen und Fehlinformationen, die beispielsweise per Mail oder über Social Media verbreitet werden. Hoaxe können ganz verschiedene Ziele haben. Das wohl am meisten verbreitete ist, Fehlinformationen zu streuen und Nutzer zu verunsichern und zu verwirren.

Kriminelle versuchen mit diesen Warnungen auch oftmals Geld zu ergaunern, indem sie Lösungen für nicht vorhandene Probleme versprechen und anbieten. Beispiele hierfür sind falsche Virusmeldungen oder Kettenbriefe.

Honeypots sind virtuelle Systeme und Umgebungen, die als eine Art Fallgrube für Angreifer fungieren. Ein Honeypot emuliert beispielsweise einen E-Mail- oder Webserver, enthält dabei aber keinerlei „echte“ Informationen sondern lediglich Demo Inhalt.

Gelangt ein Angreifer einmal auf einen dieser Honeypots, kann der Besitzer alles aufzeichnen und analysieren, was auf dem virtuellen Server vonstatten geht. Je durchdachter der Honeypot designt ist, desto höher ist die Wahrscheinlichkeit, dass der Angreifer auf den Köder hereinfällt.

Ein Honeypot ist wie eine Mausfalle – Als Köder dienen offene Ports und Services. Ist die Maus erst einmal in der Falle, kann man ihr Verhalten von allen Seiten beobachten.

ABER VORSICHT!
Die „Maus“ kann, wenn die Falle falsch aufgestellt ist, entkommen und weiteren Schaden im „Haus“ anrichten.

I

Identitätsdiebstahl ist ein großes Problem in unserem, zum Teil unpersönlichen, digitalen Leben geworden. Über das Internet ist es deutlich einfacher, sich als eine andere Person auszugeben, als in der realen Welt. Identitäten können auf vielerlei Art und Weise verwendet werden.

Denkbare Einsatzgebiete für gestohlene Identitäten sind Online Shopping Betrug, Scams und andere Betrugsmaschen. Auch das gezielte diskreditieren von Personen mit Hilfe von gestohlenen Identitäten ist mittlerweile vermehrt zu beobachten.

In anderen Ländern ist es teilweise so, dass mit Hilfe einer Social Security Number neue Kreditkarten, Hypotheken und vieles mehr beantragt werden können. Das kann im schlimmsten Fall zum finanziellen Ruin des Opfers führen.

Als Impersonation oder Identitätsmissbrauch werden Angriffe bezeichnet, bei denen die Kriminellen versuchen sich als eine andere Person auszugeben. Oft werden im Vorfeld eines solchen Angriffs zahlreiche Information über die zu spielende Person gesammelt. Dies geschieht auf digitalem, genauso wie auf analogem Wege.

Eine gezielte Google Suche oder auch das durchforsten von sozialen Netzwerken fördert oft eine Menge Informationen zu Tage. Auch Dumpster Diving wird für die Informationsbeschaffung immer noch als Methode herangezogen.

Genau wie beim Tailgating, versuchen die Angreifer Zutritt zu bestimmten Gebäudeteilen zu erlangen. Dabei werden oft auch Personen imitiert, die normalerweise in Firmen nicht auffallen bzw. dort einen legitimen Aufenthaltsgrund haben.
Beispiele hierfür sind Postboten, Techniker oder auch Mitarbeiter von anderen Standorten.

Spoofing (dt. Verschleiern, Vortäuschen) bezeichent eine Technik, mit der man seine Identität in Netzwerken oder dem Internet verschleiert. Abhängig davon was „gespoofed“ wird, kann ein Angreifer damit verschiedene Ziele erreichen.
In Netzwerken kann IP Spoofing beispielsweise dazu genutzt werden, unbemerkt Netzwerkverkehr mitlesen zu können.

Viele Wlan Router verfügen über eine Schutzfunktion, die es ermöglicht, nur ausgewählten Geräten eine Verbindung mit dem drahtlosen Netzwerk zu ermöglichen. Dabei setzt der Router auf eine Funktion, die sich MAC Whitelisting nennt. Die einzigartige MAC-Adresse, die jedes Gerät besitzt, wird dabei in eine Liste eingetragen. Nur Geräte, deren MAC Adresse in dieser Liste ist, können sich mit dem Zugangspunkt verbinden. Hier kommt MAC Spoofing ins Spiel.

Angreifer können mit Hilfe von MAC-Spoofing die Beschränkungen des Routers umgehen, indem sie ihre eigenen MAC-Adresse verschleiern. Statt der eigenen Adresse wird eine bereits freigegebene MAC Adresse aus der Whitelist verwendet.

J

Siehe Rooting

K

Kali Linux ist ein spezielles Linux Betriebssystem der Firma Offensive Security. Es bietet eine Vielzahl an vorinstallierten Werkzeugen und Funktionen für das Testen der Sicherheit von Netzwerken und Systemen. Kali Linux wird gerne von Penetrationstestern und Hackern verwendet. Die geringen Hardware Anforderungen erlauben es, die Linux Distribution auf vielen Geräten einzusetzen. Auch für den Einsatz in virtuellen Maschinen ist Kali optimal geeignet.

Eine Spezialversion von Kali ist Nethunter, das auf Android Smartphones und Tablets installiert werden kann. Mit solch einem Nethunter Mobilgerät „bewaffnet“ sind Angreifer mobil und bestens gerüstet, um Netzwerke „unsicher“ zu machen.

Keylogger sind Programme, die es Kriminellen ermöglichen alle Eingaben die über die Tastatur getätigt werden mitzulesen. Sämtliche Eingaben werden dabei unverschlüsselt abgefangen und an den Angreifer in Form von Textdateien versendet.

Keylogger können zudem meist noch Screenshots vom Bildschirm erzeugen, die Zwischenablage auslesen oder den Verlauf von Chat Apps und Instant Messengern mitschneiden und übertragen.

L

Logic Bombs sind Programme oder Softwareteile die, vergleichbar einer echten zeitgesteuerten Sprengvorrichtung, zu einem gewissen Datum, einem Ereignis oder anderen Umständen ausgeführt werden. Meist handelt es sich dabei um Befehle, die das Netzwerk oder gewisse Teile davon beschädigen sollen. Oft werden auch Datenbestände, BackUps oder Wissensdatenbanken als Ziel bestimmt. Die Software löscht dann beispielsweise zu einem vorbestimmten Zeitpunkt alle Dateien auf einem gewissen Server und sorgt so für große Schäden.

Solche Logikbomben werden gerne von ehemaligen Mitarbeitern verwendet, um Firmen nachträglich und vermeintlich anonym Schaden zuzufügen

Auch sind Logic Bombs ein Mittel, um in abgeschotteten Netzwerken und Systemen große Schäden anzurichten. Der flächendeckende Ausfall des Stromnetzes Mitte Dezember 2015 in der Ukraine wurde, unter anderem, durch eine solche Logic Bomb ermöglicht. Dabei bewerkstelligten es die Angreifer ein solches Programm in das interne Netzwerk einzuschleusen, um die Stromausfälle herbeizuführen.

M

MAC steht für Media Access Control. Die MAC-Adresse ist die Hardware Adresse von Netzwerkgeräten wie Wlan Adaptern und Netzwerkkarten. Diese finden sich in jedem Gerät, welches sich mit einem Netzwerk verbinden können soll.

Einige Beispiele dafür sind PC, Laptop, Smartphone, Tablet, IOT-Geräte wie intelligente Haushaltsgeräte oder Lampen. Dabei ist ein Netzwerk nicht auf das klassische WLAN beschränkt, z.B. haben auch Bluetooth fähige Geräte eine eigene MAC-Adresse.

Ein Mail Gateway wird eingesetzt um ein- und ausgehende E-Mails zu überprüfen. Dabei können Spam, Malware und Viren, die in Anhängen versteckt sind, gefiltert werden noch bevor der unwissende Nutzer damit Schaden anrichten könnte. Auch können Mail Gateways helfen, Data Loss Prevention in einem Unternehmen zu unterstützen. Die E-Mails werden auf sensible Inhalte gescannt und vor dem Versenden blockiert, sollte etwas entdeckt werden.

Malware setzt sich aus den englischen Wörtern “Malicious” und “Ware” zusammen, zu Deutsch bedeutet dies so viel wie „Bösartige Software“. Unter dem Begriff Malware lassen sich viele verschiedene Arten von Schadsoftware zusammenfassen. Unter anderem zählen folgende Softwaregattungen zu Malware:

• – Crypto-Malware
• – Ransomware
• – Würmer / Worms
• – Trojaner / Trojanische Pferde / Trojan Horse
• – Rootkit
• – Keylogger
• – Adware
• – Spyware
• – Botnet / Botnetz
• – Virus

Man-in-the-middle (MITM) bezeichnet einen Angriff, bei dem der Angreifer zwischen zwei Kommunikationspartnern sitzt und mitlesen / mithören kann. Auch kann er, bei fehlender End-zu End Verschlüsselung, die Informationen und Daten manipulieren, ohne dass es eine der beiden Parteien bemerkt.

Ein MITM Angriff kann viele Informationen zu Tage fördern, setzt aber voraus, dass sich der Angreifer im selben Netzwerk wie das Opfer befindet.

Eine spezielle Form von MITM ist der sogenannte Man-in-the-Browser. Diese Art des Angriffs tritt deutlich öfters auf, da der Angreifer nicht im selben Netz sitzen muss. Bei diesem Angriff wird mit Hilfen von Malware der Browser des Opfers infiziert und der gesamte Verkehr über einen, vom Angreifer kontrollierten, Proxy Server geleitet.

Für den Benutzer sieht alles normal aus, die Kriminellen können jedoch jegliche unverschlüsselte Kommunikation mitlesen und Daten dabei auch beliebig manipulieren. Lohnende Ziel sind hierbei Online Banking Accounts, Soziale Netzwerke und E-Mail.

Metasploit ist ein Exploitation Framework der Firma Rapid7. Es ist ein Werkzeugkasten voll mit nützlichen Werkzeugen, um Penetrationstestern, Systemadministratoren und anderen Anwendern das Leben zu erleichtern. Metasploit liefert viele Tools einfach und bequem über eine Oberfläche bedienbar aus. Als kommerzielle Version bekommt der Kunde zusätzliche Module und Automatisierung für die Software. Die Basisversion ist als Open-Source-Software frei verfügbar für jedermann.

Mobile Content Management (MCM) ist ein Teilgebiet des Mobile Device Management und beschäftigt sich mit dem Bereitstellen von Inhalten für die Beteiligten. Zugriff auf Informationen, sowie der Schutz dieser zählen zu den Hauptaufgaben von MCM Werkzeugen. Oftmals kombiniert mit einer Data Loss Prevention Lösung, lassen sich mit MCM Tools verschiedene Richtlinien und Regularien umsetzen.

Zugriff auf Daten von mobilen Endgeräten stellt einen riskanten Arbeitsablauf dar. Eine verlässliche und abgestimmte MDM Gesamtlösung gibt Unternehmen ein starkes Mittel zur Kontrolle und Einhaltung von Richtlinien im Umgang mit Mobilgeräten.

Mobile Device Management (MDM) Software und Werkzeuge ermöglichen Unternehmen ihren Mitarbeitern zu erlauben, eigene Smartphones und Tablets für ihre Arbeit zu nutzen. Mobile Endgeräte, ob vom Arbeitnehmer zur Verfügung gestellt oder durch das Unternehmen beschafft, stellen die IT-Abteilungen vor zahlreiche Schwierigkeiten. Unterschiedliche Standards, Betriebssysteme und Versionen erschweren das Einbinden von neuen Geräten.

Einsatzfähige MDM Lösungen müssen eine Reihe von Anforderungen erfüllen, um in einem professionellen Unternehmensumfeld effizient arbeiten zu können:

• – Fernlöschung der Geräte
• – Whitlisting / Blacklisting von Apps
• – Statusprüfung vor und nach der Einbindung ins Netzwerk
• – Standort Abfrage
• – Diebstahlschutz
• – Verschlüsselung
• – und viele weitere

Eine weitere Herausforderung von MDM Tools ist die Wahrung der Privatsphäre des Mitarbeiters. Es sollte eine absolute Trennung zwischen beruflichem und privatem System eingehalten werden. Dies dient sowohl dem Schutz der firmeninternen Informationen vor Data Loss, als auch dem Schutz der privaten Informationen und Metadaten der Mitarbeiter.

N

Ein Network Intrusion Detection System ist ein Software Verbund, der dafür sorgt, dass Angriffe und auffällige Aktionen in einem Netzwerk erkannt und gemeldet werden. Der Name Detection System steht hierbei im Mittelpunkt und bezeichnet das Aufspüren von schadhaften Programmen und Verbindungen. Im Vergleich zu seinem Namenvetter „Network Intrusion Prevention System“ sorgt ein NIDS lediglich dafür, dass Gefahren erkannt werden.

NIDS stehen verschiedene Erkennungsmethoden und Verfahren zur Verfügung, um schadhaften Netzwerkverkehr und Aktionen zu erkennen. Abhängig von der Ausführung und Evolutionsstufe des Network Intrusion Detection Systems, stehen folgende Technologien zur Erkennung bereit:

• Signaturen-basierte Erkennung:

  Es wird bei der Untersuchung nach perfekten Übereinstimmungen in einer Referenzdatenbank gesucht. Schon bei kleinen Modifikationen an der Schadsoftware wird der Angriff nicht mehr erkannt.

• Anomalien-basierte Erkennung:

  Es wird bei der Untersuchung nach Auffälligkeiten gesucht. Als Referenz dient ein einmal erlerntes Muster vom „Normalzustand“ des Netzwerks und der Nutzer. Fällt etwas aus der Reihe, schlägt das System Alarm.

• Verhaltens-basierte Erkennung:

  Es wird bei der Untersuchung das Verhalten von Programmen und Netzwerkverbindungen beobachtet und analysiert. Erkennt das System auffällige Verhaltensmuster, schlägt es Alarm.

• Heuristik:

  Es wird bei der Untersuchung unter anderem auf künstliche Intelligenz gesetzt. Das System analysiert und bewertet das Verhalten im Netzwerk, die Verbindungen, den Datenfluss und viele weitere Indikatoren, um daraus seine Ergebnisse abzuleiten. Die Software lernt selbständig und entwickelt sich weiter. Sie erkennt nach einiger „Einlernzeit“ selbst, wie ein Netzwerk „funktioniert“, was „normal“ ist und was eben nicht.

Ein Network Intrusion Prevention System ist ein Software Verbund, der dafür sorgt, dass Angriffe und auffällige Verbindungen in einem Netzwerk verhindert und blockiert werden. Der Name „Prevention System“ steht hierbei im Mittelpunkt und bedeutet in diesem Fall das Blockieren von schadhaften Programmen und Verbindungen. Im Vergleich zu seinem Namensvetter „Network Intrusion Detection System”, sorgt ein NIPS ausschließlich dafür, dass Gefahren blockiert werden.

Mit Network Intrusion Prevention Systems lassen sich eine Vielzahl von Aktionen und Maßnahmen bewerkstelligen, wenn es um das Blockieren und/oder Filtern von Verbindungen geht. Sie arbeiten oftmals mit einem NIDS zusammen und verrichten die Arbeit des Türstehers. Regelbasierte NIPS können beispielsweise schadhafte Verbindungen blockieren. Mit diesen Regeln kann sowohl ausgehender als auch eingehender Verkehr im Netzwerk gefiltert und gegebenenfalls blockiert werden.

Netwerk Scanner sind Programme, die es dem Benutzer erlauben ein Netzwerk nach IP Adressen und offenen Ports zu durchsuchen. Der Scanner durchforstet nach vorher eingestellten Parametern ein Netzwerk und liefert alle Informationen kompakt und aufbereitet zurück.

Netzwerk Scanner können, abhängig von den Sicherheitseinstellungen des Zielnetzwerks, Informationen über IP Adressräume, Betriebssysteme, Services und offene Ports sammeln. Dabei reicht das Repertoire von Scans, die viel Aufmerksamkeit in einem Netzwerk erzeugen, bis hin zu Scan-Varianten, die nahezu unentdeckt durchgeführt werden können.

Zwei der bekanntesten Werkzeuge sind nmap/zenmap und der “Angry IP Scanner”.

Nmap ist ein Netzwerk Scanner und „Kartograph“. Mit Hilfe dieses Tools lassen sich Netzwerke kartographieren und die einzelnen Geräte auflisten und analysieren. Nmap bietet eine große Bandbreite an Funktionen zum Scannen. Darunter finden sich unter anderem besonders umfangreiche Scanns, die nicht nur die Ports und deren Status zurückliefern, sondern sogar Angaben zu installierten Betriebssystemen, Services und weitere Details liefern. Nmap ist ein reines Command Line Tool und verfügt nicht über eine grafische Bedienoberfläche, eine sogenannte GUI (Grafical User Interface).

Zenmap ist ein Programm das Nmap über eine grafische Oberfläche bedienbar macht. Die Bedienung wird dadurch für Laien um ein Vielfaches einfacher. Scan-Resultate können übersichtlich analysiert und geordnet werden.
Zenmap greift im Hintergrund auf Nmap zu und verwendet dieselben Befehle zur Bedienung, wie es bei einer direkten Eingabe in Nmap auch nötig wäre.

NTP steht für Network Time Protocol und sorgt in einem Netzwerk dafür, dass alle Geräte dieselbe Zeit haben. Das klingt erstmal trivial, ist aber eine wichtige Grundvoraussetzung für ein reibungslos arbeitendes System. Die Systemzeit wird beispielsweise genutzt, um Prozesse und Logs zu synchronisieren. Das ist wichtig, damit es nicht zu Kollisionen kommt.

NTP wurde in der Vergangenheit oft als Verstärker bei DDoS Angriffen genutzt. Seit 2015 läuft die Entwicklung des Nachfolgers NTPsec für das schon seit 1985 im Einsatz befindliche NT Protokoll. Das Beseitigen der Schwachstellen und die Überarbeitung der Sicherheit stehen bei der Weiterentwicklung im Fokus.

O

siehe Tor

P

Eine weitere Unterart des Phishings ist das sogenannte Spear Phishing. Beim Spear Phishing, zu Deutsch Speerfischen, haben es Kriminelle auf einzelne Person gezielt abgesehen. Diese Art des Phishings bedarf ausgeprägter Fähigkeiten in Social Engineering und Informationsbeschaffung im Vorfeld.

Ist das Ziel eines Spear Phishing Angriffs eine besonders einflussreiche Person, beispielsweise der CEO eines Unternehmens, spricht man von Whaling. Das jagend nach dem großen Fisch stellt die Königsdisziplin des Phishings dar.

Privilege Escalation bezeichnet eine Handlung, bei der ein Angreifer auf einem Server oder einem anderen Gerät durch gezielte Manipulation höhere Rechte erlangen kann, als er aktuell hat. Das Ziel ist meistens, die Rechte eines Administrators zu erhalten um anschließend im System alle Aktion durchführen zu können die wichtig sind.

Ein Protocol Analyzer ist eine Software, mit deren Hilfe sich Datenverkehr analysieren und auswerten lässt. Dabei unterscheidet man nicht zwischen kabelgebundenen und drahtlosen Verbindungen. Mit einem Protocol Analyzer lassen sich die verschiedensten Pakete in Echtzeit analysieren und Muster in unbekanntem Netzwerkverkehr aufspüren und auswerten.

Einer der bekanntesten Protocol Analyzer ist WireShark. Mit ihm lassen sich alle Verbindungen in einem Netzwerk analysieren und filtern. Je nach Anforderung lassen sich ganze Sessions Paket für Paket auseinandernehmen. Kombiniert man moderne Protocol Analyse Software mit den richtigen Big Data Datenbanken und maschinengestützten Auswertungsprogrammen hat man ein mächtiges Werkzeug an der Hand.

Proxy Server sitzen zwischen einem Nutzer und dem Internet und haben die verschiedensten Aufgaben. Zum einen können Sie gewisse Filter Aufgaben übernehmen, um User beispielsweise vor bekannten Schadseiten zu schützen. Zum anderen dienen Sie auch oftmals dazu, die Nutzer zu Authentifizieren bzw. zu verifizieren. Sie können in Firmennetzen dazu genutzt werden, um zu kontrollieren, welche Geräte Internetzugriff haben und welche nicht.

siehe Asymmetrische Verschlüsselung

siehe Random Number Generator

Q

R

In der Kryptographie spielen Zufallszahlen eine besonders wichtige Rolle. Um beispielsweise ein Schlüsselpaar aus Privatem und Öffentlichem Schlüssel zu erzeugen, benötigt ein Server Zufallszahlen. Die zufälligen Zahlen sorgen dafür, dass die Schlüssel nicht durch Angreifer vorhergesagt werden können (vgl. Asymmetrische Verschlüsselung).

Würde bei der Erzeugung, statt eines zufällig gewählten Bestandteils, immer wieder der gleiche genutzt werden, wäre es ein Leichtes die generierten Schlüssel vorherzusagen.

Zufall ist etwas, dass es bei Computersystem eigentlich nicht gibt. Jede Aktion, jeder Prozess ist programmiert und festgehalten. Hinzu kommt, dass Computer sehr schlecht darin sind, eine Auswahl zufällig zu treffen, sie wissen in der Regel nicht was Zufall ist. Jede Auswahl eines Computers geschieht nach einem festen Muster, Ablauf oder ähnlichem. Um trotzdem zufällige Zahlen generieren zu können, müssen spezielle Techniken angewandt werden. Gerne wird dabei auf einen zeitbasierten Faktor bei der Erzeugung zurückgegriffen. Auch andere Einflussfaktoren wie beispielsweise das Rauschen verschiedener Sensoren wären denkbare Quellen für Zufall.

Man unterscheidet bei Zufallszahlen Generatoren in zwei Gruppen:

Pseudo Random Number Generator / Pseudo Zufallszahlen Generatoren

In Computern, Laptops, Smartphones und anderen Geräten kommen oftmals sogenannte Pseudo Random Number Generators zum Einsatz. Die erzeugten Zahlen sind zwar ausreichend zufällig, sind mit genug Aufwand und Mitteln im schlimmsten Fall jedoch reproduzierbar. Dieser Kompromiss wird aus Kosten– und Performancegründen eingegangen. Des Weiteren sind für die meisten Anwendungsszenarien Pseudo Random Numbers vollkommen ausreichend.

True Random Number Generator

Anwendungen, die ein hohes Maß an Sicherheit benötigen, setzten bei der Erzeugung von Schlüsseln auf sogenannte True Random Number Generatoren (TRNG). Geeignete Quellen für solch echte Zufälle, sind beispielsweise radioaktiver Zerfall von Elementen, Laser oder Lavalampen. Die Verarbeitung dieser zufällig erzeugten Werte ist rechenintensiv und komplex.

Das Video zeigt, wie einer der größten Internet Security Dienstleister CloudFlare seine True Random Numbers mit Hilfe von Lavalampen erzeugt.

Der englische Begriff “Ransomware” setzt sich aus dem Wort “Ransom” (Lösegeld) und „Ware“, Kurzform für Software, zusammen. Frei übersetzt ergibt sich daraus die „Erpressersoftware“, und nichts anderes machen diese Schadprogramme.

Verbreitet über Viren oder ähnliche Malware, sorgt Ransomware dafür, dass das infizierte Gerät nicht mehr „zugänglich“ bzw. nutzbar ist. Dabei fordern die Kriminellen, vergleichbar einer realen Entführung, Lösegeld. Die Erpresser verschlüsseln bei Ihrem automatischen Angriff meist Dateien auf dem Computer des Opfers. Erst wenn der Nutzer das Lösegeld, in Form einer Kryptowährung wie Bitcoins oder Ethereum, auf ein anonymes Konto überwiesen hat, versprechen die Kriminellen die Herausgabe des entsprechenden Schlüssels.

Einige dieser Programme können mittlerweile durch spezielle Software ausgetrickst werden bzw. die geheimen Schlüssel anderweitig erzeugt werden. Meist sind die verschlüsselten Daten jedoch unwiederbringlich verloren.

Experten raten davon ab, die geforderten Lösegelder zu bezahlen, da es keinerlei Garantie für die anschließende Entschlüsselung der Daten gibt. Des Weiteren sind Nutzer, die Ihre Bereitschaft zu Bezahlen einmal signalisiert haben, unter Umständen wieder als lohnendes Ziel gebrandmarkt.

Rainbow Tables sind enorm große Datenbanken, die verschiedenste Passwörter und Passwortkombinationen, sowie die entsprechenden Hash-Werte dazu enthalten. Der Vorteil von Rainbow Tables, im Vergleich zum herkömmlichen Cracken von Hashes, ist die Tatsache, dass das Durchsuchen dieser Rainbow Tables um ein Vielfaches schneller von statten geht, als das eigentliche cracken der Hashes (sofern dies für das entsprechende Hashverfahren überhaupt möglich ist). Einmal berechnet, lassen sich die Hashwerte immer wieder verwenden.

Probiert doch mal einen dieser Hashes aus:

https://md5decrypt.net/en/ 

Klartext Passwort: Hallo Welt
MD5 Hashwert: 5c372a32c9ae748a4c040ebadc51a829

Klartext Passwort: 123456789
MD5 Hashwert: 25f9e794323b453885f5181f1b624d0b

Klartext Passwort: qwerty
MD5 Hashwert: d8578edf8458ce06fbc5bb76a58c5ca4

Klartext Passwort: 111112
MD5 Hashwert: 9a952cd91000872a8d7d1f5ee0c87317

Klartext Passwort: 111111
MD5 Hashwert: 96e79218965eb72c92a549dd5a330112

Klartext Passwort: 1234567890
MD5 Hashwert: e807f1fcf82d132f9bb018ca6738a19f

Klartext Passwort: password
MD5 Hashwert: 5f4dcc3b5aa765d61d8327deb882cf99

Beispielsweise könnte eine Rainbow Table alle möglichen 8er Kombinationen von Zahlen, Buchstaben, Sonderzeichen und den einmal berechneten Hashwerten zu den einzelnen Kombinationen enthalten. Gelangt nun ein Angreifer an ein gehashtes Passwort, kann er diesen Hashwert einfach mit den Einträgen in seiner Rainbow Table abgleichen lassen und bekommt relativ schnell den entsprechenden Eintrag mit dazugehörigem Klartext Passwort zurückgeliefert.

Eine Remote Code Execution Vulnerability (“Code-aus-der-Ferne-ausführbarer-Code Lücke”) erlaubt es, Programme und Skripte von einem entfernten Computer, über ein Netzwerk oder das Internet auf einem fremden Rechner zu starten und zu bedienen. Dabei wird oftmals eine sogenannte Remote Shell, eine Kommandozeile auf dem entfernten Computer, benutzt.

Diese Remote Shell erlaubt es, beliebige Befehle und Aktionen auf dem Fremdrechner auszuführen und dadurch beispielsweise Daten und Login Informationen zu stehlen. Auch das Nachladen von anderer Malware auf den Computer ist mit einer Remote Shell möglich.

Ein Rogue Access Point wird verwendet, um Wlan Verbindung abzufangen und über einen, durch den Angreifer kontrollierten, Zugangspunkt zu leiten. Dabei muss der Access Point nicht zwangsläufig gut getarnt sein. Es reicht oft schon aus, die Verbindung ohne weitere Authentifizierung anzubieten. Viele Geräte und Nutzer verbinden sich automatisch mit einem freien Wlan.
Eine spezielle Art von Rogue Access Point ist der sogenannte Evil Twin.

Evil Twins sind Wlan Zugangspunkte, die ihre Identität spoofen. Das bedeutet, sie kopieren und imitieren die Einstellungen und Merkmale eines legitimen Zugangspunkt. Oft haben diese Hardware Geräte eine größere Sendeleistung als die eigentlichen Zugangspunkte, sodass Geräte sich eher zu ihnen verbinden.

Rooting und Jailbreaking sind Methoden, um auf seinem Smartphone alternative Betriebssysteme zu installieren und mehr Zugriffsrechte und Einstellungsmöglichkeiten zu erhalten.

Rooting bezeichnet den Vorgang auf Android Geräten, bei dem man sich selbst durch eine Lücke im System zum „root“, also dem Hauptadministrator des Gerätes macht. Jailbreaking bezeichnet denselben Vorgang, allerdings für Apple Geräte.

Der Prozess läuft dabei bei beiden Varianten relativ identisch ab. Ziel von beiden Manipulationen ist das Erlangen von höheren Rechten auf dem jeweiligen System. Anschließend können bei Android zum Beispiel Custom ROMs wie CyanogenMod oder LineageOS verwendet werden. Bei iOS Geräten erlaubt ein Jailbreak den Zugriff auf alternative App Stores wie CYDIA.

Eine solche Manipulation ermöglicht es allerdings auch Schadprogrammen und Angreifern, leichter in das System zu gelangen. Viele Unternehmen setzen daher bei Ihren Mobile Device Management (MDM) Programmen auf ein striktes Verbot von gerooteten oder gejailbreakten Geräten.

Rootkits sind Programme, die außerhalb der normalen Betriebssystem Umgebung laufen und Schaden anrichten. Sie nisten sich im Kernel des Systems oder auch direkt in der Hardware ein und können so von herkömmlichen Anti-Viren Programmen nicht so einfach erkannt werden. Rootkits treten oft in Kombination mit anderer Malware auf.

S

SCADA steht für Supervisory Control and Data Acquisition System und bezeichnet eine Art von Datenverarbeitung, wie sie in Industriebetrieben zum Einsatz kommt.

ICS steht für Industrial Control Systems und beschreibt ebenfalls industrielle Kontrollsysteme. Einfach ausgedrückt kann man sagen, SCADA Systeme sind vorrangig für die Darstellung und Steuerung von ICS Systemen dar. Die eigentliche Arbeit verrichten die ICS Systeme.

Schultersurfen bezeichnet simpel das „über die Schulter Schauen“ um an Informationen zu gelangen. Dabei unterscheidet man nicht darin, ob der Angreifer besonders nah oder weit entfernt ist.

Gerade bei Bankautomaten und anderen freimontierten Bezahlterminals, in die man seine PIN eintippt, besteht die Gefahr des Shoulder Surfings. Angreifer erspähen so sehr einfach die 4-stellige PIN einer Bankkarte. Die zugehörige Karte kann beispielsweise durch Diebstahl oder Skimming besorgt werden.

SIEM Lösungen können als eine Art Hauptquartier oder Steuerzentrale für die IT-Sicherheit in einem Unternehmen gesehen werden. Diese Software Komponenten erlauben es Administratoren und Analysten, zentral an einem Ort, alle Vorfälle, Warnungen und sonstige Informationen zum Sicherheitsstatus eines Netzwerks einzusehen und zu verwalten. Die Sensoren einer SIEM Lösungen sind beispielsweise Firewalls und IDS Systeme.

Moderne SIEM Lösungen verfügen zusätzlich über etliche Schnittstellen zu weiteren Informationsquellen. Durch die erhobenen Daten und Informationen lassen sich im Falle eines Vorfalls leichter Rückschlüsse auf das Vorgehen und das Ausmaßen ziehen.

Social Engineering stammt aus dem Englischen und kann mit dem Deutschen Wort Trickbetrug verglichen werden. Im weiteren Sinn kann es auch mit Manipulation von Menschen umschrieben werden. Das Ziel eines jeden Social Engineering Angriffs ist es, direkt an Informationen zu gelangen oder Zugang zu Informationen zu erhalten. Impersonation, Tailgating, Dumpster Diving und auch das Shoulder Surfing sind einige gern verwendete Taktiken und Vorgehensweisen beim Social Engineering.

Vertrauen und Sympathie sind wichtige Faktoren beim Social Engineering. Der Angreifer versucht auf verschiedensten Wegen an Informationen zu gelangen, die man ihm unter anderen Umständen niemals geben würde.

Social Engineering Angriffe sind, wenn sie von einem Profi durchgeführt werden, sehr schwer zu entdecken. Durch die nachfolgenden Taktiken versuchen Kriminelle an Ihre Informationen zu gelangen.

• – Falsches autoritäres Auftreten („Ihr Chef Hr. Maier schickt mich um…“)
• – Einschüchterung
• – Vergleiche und Bewährtheit („Ihre Kollegin Maria hat mir letzte Woche auch…“)
• – künstliche Knappheit und Dringlichkeit (Druckaufbau)
• – Vertrauen
• – „gemeinsame“ Freunde und Bekannte

Spoofing bezeichnet in der IT-Security Branche meist das Vortäuschen falscher Informationen bzw. das Ausgeben als eine andere Person.

Dabei gibt es die verschiedensten Arten des Spoofings:

• – MAC Spoofing
• – IP Spoofing
• – E-Mail-Adressen Spoofing
• – Anrufer ID Spoofing
• – ARP Spoofing

Alle Angriffe haben gemeinsam, dass der Angreifer sich gegenüber dem Opfer als etwas anderes ausgibt als er ist.

SoC( kurz für „System on a Chip“) beschreibt eine Hardwarekomponente, in der mehrere verschiedene Einzelkomponenten untergebracht sind.

Diese SoC kommen oft in Embedded Systems und IoT Bauteilen, wie beispielsweise dem Raspberry Pi zum Einsatz. Im Chip sind Arbeitsspeicher, Recheneinheit und weitere Komponenten zusammen untergebracht.

Spyware stammt aus dem Englischen und bedeutet in etwa Spionagesoftware. Allerdings muss man hier zwei Szenarien unterscheiden:

Herkömmliche Spyware, wie sie zusammen mit Adware und anderen Malware Arten ausgeliefert wird, hat den Diebstahl von persönlichen Daten zum Ziel. Mit dem Hintergedanken diese Daten gezielt bspw. im Dark Web zu verkaufen. Auch das Surfverhalten, die Online Gewohnheiten und Vorlieben werden durch Spyware ausspioniert und für Werbezwecke genutzt.

Im Vergleich dazu beschreibt der Begriff Spionagesoftware im engeren Sinn weitaus umfangreichere und vorallem spezialisierter Softwarepakete und Systeme. Diese werden meist im Zusammenhang mit Staaten und einflussreichen Organisationen und Behörden genannt.

SRTP steht für Secure Realtime Transport Protocol und wird eingesetzt, um Audio- und Videokommunikation gesichert über ein Netzwerk zu übertragen. Das SRT Protokoll baut auf dem unverschlüsselten RTP (Realtime Transport Protocol) auf, erweitert es allerdings um eine AES Verschlüsselung. Des Weiteren kommen Schutzmaßnahmen zum Einsatz, die Replay Angriffe verhindern und Authentifizierung und Integrität gewährleisten.

Tech-Fakt SRTP:

SRTP setzt auf das HMAC-SHA1 Authentifizierungsverfahren

SSH ist ein Protokoll, mit dem sich auf entfernen Geräten, Servern oder Computern Funktionen ausführen und Befehle übertragen lassen. Die Secure Shell (SSH) ersetz das in die Jahre gekommene und unverschlüsselt arbeitende Telnet Protokoll.

SSH setzt bei der Übertragung auf Verschlüsselung, die es verhindern soll, dass fremde Parteien die Kommunikation mitlesen oder manipulieren können.

SSID steht für Service Set Identifier und bezeichnet den Namen eines Wireless Netzwerks, anhand dessen es von anderen Geräten gefunden werden kann.

SSL (Secure Socket Layer) bzw. das aktuellere TLS (Transport Layer Security) Protokoll sorgen für Sicherheit im Browser und bei Verbindungen im Internet.

SSL / TLS sorgt im Hintergrund beim Surfen dafür, dass die Verbindung zwischen dem Computer und dem Server verschlüsselt ist und niemand mitlesen kann. Sehen kann man das als Nutzer in der Adressleiste des Browsers. Das grüne Schloss zeigt, die Seite benutzt für ihre Verbindung eine Verschlüsselung.

SSL / TLS setzt auf eine Kombination aus symetrischer und asymetrischer Verschlüsselung. Dabei werden die Vorteiler beider Verfahren kombiniert – sowohl Sicherheit durch starke symmetrische Verschlüsselung, als auch Geschwindigkeit durch asymmetrische Verschlüsselung.

Tech-Fakt SSL / TLS:

HTTPS wird oft auch als http über TLS | http über SSL | oder http Secure bezeichnet.

Ein SSL Accelerator ist ein Hardware Modul, das in einem Verbund von Webservern die Funktion des Verschlüsselns und Entschlüsselns von Verbindungen übernehmen kann.

Der SSL Accelerator nimmt dabei dem Webserver die Last ab, damit dieser sich um die Bereitstellung der eigentlichen Webseite oder Webanwendung kümmern kann. Gerade beim Berechnen der Schlüssel für eine sichere SSL Verbindung entsteht viel Rechenlast auf den Prozessoren des Webservers, welche an den SSL Accelerator outgesourced werden kann.

Stell dir vor, du veranstaltest eine große Party und engagierst eine externe Security Firma, die sich um die Einlasskontrollen kümmert. Diese externe Security Firma ist dein SSL Accelerator.

Steganographie stammt aus dem Griechischen und setzt sich aus den Wörtern „Steganos“ (verborgen, bedeckt) und „graphein“ (schreiben) zusammen. Steganographie ist die Kunst des Verborgenen Schreibens oder Speichern von Informationen.

Hierbei kommen oftmals Bilder zum Einsatz, in denen Informationen versteckt werden. Es können beispielsweise winzig kleine Bildpunkte / Pixel dafür genutzt werden, um geheime Nachrichten zu übermitteln. Die zu übermittelnden Informationen können zwar technisch von jedermann gefunden werden, ohne Vermutung oder Hinweise gehen sie allerdings einfach im Gesamtbild unter.

Ein Einsatzbeispiel für Steganographie findest du direkt neben dir am Schreibtisch
– Dein Drucker.

Drucker nutzen Steganographie, um verschiedenste Informationen auf jedes gedruckte Blatt zu schreiben. Dabei werden winzig kleine Farbpunkte am Rand des Blattes mitgedruckt, die später genaue Rückschlüsse auf das Modell, den Hersteller und weitere Meta Informationen zulassen.

Der Drucker nutzt Steganographie, um jedem Blatt seinen individuellen Fingerabdruck zu geben.

Symmetrische Verschlüsselung ist ein Verfahren der Kryptografie. Sie setzt auf einen einzigen, geteilten Schlüssel, mit dem sich die Nachrichten ver- und entschlüsseln lassen. Der Schlüssel muss dabei unter allen Umständen geheim gehalten werden.

Gelangt ein symmetrischer Schlüssel nach außen oder wird er einem Dritten bekannt, muss er gewechselt werden. Die Sicherheit des Verfahren ist stark abhängig von der korrekten Implementierung, den verwendeten Algorithmen und der Länge der Schlüssel.

Symmetrische Verschlüsselung ist sehr schnell. Sowohl bei der Verschlüsselung von Nachrichten als auch bei der Entschlüsselung, kommt es zu sehr wenig Mehraufwand. Dieser geringe Overhead macht das Verfahren besonders attraktive bei der Verwendung im Internet. Gerade bei Verbindungen mit Mobilen Geräten ist eine schnelle und effiziente Verschlüsselung wichtig.

Symmetrische Verschlüsselung wird heute oftmals mit Asymmetrischer Verschlüsselung kombiniert, um die Vorteile beider Verfahren miteinander zu vereinen.

Ein großer Nachteil der Symmetrischen Verschlüsselung ist die schlechte Skalierbarkeit. Das Verfahren des einzelnen, geteilten Schlüssels eignet sich nicht besonders gut für einen Einsatz mit mehreren Beteiligten.

S/MIME steht für Secure / Multipurpose Internet Mail Extensions und wird zur verschlüsselten Kommunikation in E-Mails verwendet. S/MIME ist in den meisten E-Mail Programmen, wie Thunderbird und Outlook, bereits standardmäßig integriert. Für die Verwendung von S/MIME wird eine Art von Schlüsselverwaltung benötigt (vgl. PKI).

T

Tailgating kann mit „zu dicht auffahren“ übersetzt werden. Im Zusammenhang mit IT-Security spricht man von Tailgating, wenn jemand sich Zugang zu einem Gebäude oder Raum verschafft, indem er sich von einer anderen Person die Tür aufhalten lässt, bzw. hinter ihr hinein „huscht“.

Kriminelle nutzen solche Taktiken, um beispielsweise Zugang zu Firmen-Serverräumen oder der internen Netzwerk-Hardware zu erlangen. Einmal in einem Firmengebäude oder Raum angekommen, sind die Möglichkeiten für einen Angriff deutlich umfangreicher als außerhalb.

Tor oder The Onion Router bezeichnet eine Software, die zur Nutzung des Tor Netzwerks benötigt wird. Das Konzept hinter Tor ist komplex und umfangreich. Im Folgenden haben wir versucht, die Grundlagen auf verständliche Weise darzustellen:

Um zu verstehen, wie das Tor Netzwerk funktioniert und was es kann, müssen wir kurz ausholen.
Das Bild zeigt, wie das Aufrufen der Webseite “google.com” ohne die Verwendung von Tor funktioniert. Der Heimcomputer verbindet sich mit dem nächstgelegenen Internetknoten, welche die Anfrage weiterleitet.

Am Ende dieser Kette kommt die Anfrage am Zielserver, in diesem Fall einem Google Server an. Die Anfrage wird verarbeitet und wieder zurück an den Computer geleitet. Dabei muss jeder Beteiligte in der Kette die IP Adresse des Ziels (Heimcomputer) kennen, um die Anfrage korrekt zurückleiten zu können.

Bringt man nun Tor und den Tor Browser ins Spiel, verläuft eine Anfrage, wie auf der Skizze zu sehen, etwas anders ab.

Das Tor Netzwerk besteht aus vielen einzelnen Knotenpunkten. Will man eine Verbindung zu einer Webseite aufbauen, wird die Anfrage nicht direkt an das Ziel, sondern an einen der Knotenpunkte gesendet. Dieser Knotenpunkt wiederum schickt die Anfrage an einen weiteren Knoten, bis am Ende ein sogenannter Austrittsknoten die Anfrage an Google stellt. Dabei wissen die einzelnen Beteiligten in der Kette immer nur, wer vor und wer nach ihnen kommt.

Jeder Knotenpunkt fügt eine Schicht an Verschlüsselung hinzu bzw. entschlüsselt sie. Nur der Anfragende Computer kann alle Schichten entschlüsseln. In diesem Beispiel weiß die Webseite google.com zwar welche Daten angefragt werden, nicht aber wer diese eigentlich angeforderte hat. Genauso wissen die einzelnen Knoten zwar, wer in der Kette zuvor die Daten angefragt hat, nicht aber welche Daten.

Dieses Prinzip soll absolute Anonymität ermöglichen und gleichzeitig die Verbindung vor „Zuhörern“ schützen.

Praxis-Tipp: Beim Surfen im Onion-Netzwerk sollte immer auch ein VPN verwendet werden um zu vermeiden, dass Metadaten vom Internet-Service Provider aufgezeichnet werden können.

Das Tor Netzwerk bietet noch ein weiteres Level an Anonymität und Freiheit, weswegen das Netzwerk seinen schlechten Ruf hat.
Es besteht die Möglichkeit, innerhalb des TOR Netzwerkes zu surfen. Es werden dort, wie im „Normalen Web“ auch, Webseiten und Shops angeboten. Diese Seiten sind unter sogenannten Onion Adressen erreichbar, vergleichbar der URL einer Webseite nur meist länger und weniger intuitiv zu merken.

Was zu Beginn als Netzwerk für Akademiker, Wissenschaftler und Revolutionäre gedacht war, entwickelt sich über die Jahre zu einem in Verruf geratenem Ort für Kriminelle und andere zwielichtige Gestalten.

Der Trojaner hat seinen Namen und seine Funktionsweise vom griechischen Vorbild übernommen. Das Trojanische Pferd war ein riesiges Holzpferd, das von den Griechen dazu benutzt wurde, unerkannt in die Festung von Troja einzudringen. Als Geschenk getarnt, wurde es den Bewohnern Troja’s übergeben, welche es ins Innere ihrer Stadt zogen.

Was diese nicht wussten war, dass sich im Inneren des Holzpferdes griechische Soldaten versteckt hielten. Sobald es Nacht wurde, öffneten diese die Stadttore von innen und weitere Soldaten gelangten in die Festung.

Der Computer Trojaner funktioniert nach dem gleichen Prinzip. Um auf den Rechner des Opfers zu gelangen, versteckt sich die Software in einem harmlos wirkenden Programm. Nach dem Ausführen baut der Trojaner oftmals eine Backdoor auf, um weitere Software aus dem Internet nachzuladen.

Eine Spezialversion von Trojaner sind sogenannte RAT’s (Remote Access Trojans). Sie ermöglichen dem Angreifer nahezu uneingeschränkten Zugriff auf den fremden Computer. Sie sind eine Art Remote Administrations Werkzeug. Mit ihnen lassen sich weitere Anwendungen nachladen bzw. aktivieren. Es lassen sich damit unter anderem Screenshots und Videos vom Bildschirm erzeugen, Keylogger aktivieren und Dateien kopieren.

Typosquatting ist eine Technik, bei der sich Kriminelle zu Nutze machen, dass wir Menschen oft nicht genau genug lesen. Bei Typosquatting werden beispielsweise URLs / Domains gekauft, die sehr ähnlich geschrieben werden, wie die Domain welche das Opfers ansurft.

Die Kriminellen leiten anschließend den Traffic der falsch geschriebenen Domain weiter, um selbst Vorteile daraus zu erlangen. Beispielsweise um den eigentlichen Eigentümer der Domain zu erpressen oder den Besuchertraffic an die Konkurrenz zu verkaufen.

Beispiel für Typosquatting:

exokrypt.de <—–> exocrypt.de

exokrypt.de <—–> exokrypts.de

Exokrypt.de <—–> Еxokrypt.de
(Е ist aus dem kyrillischen Alphabet entliehen)

U

Unter URL oder auch Domain Hijacking versteht man eine Art von Angriff, bei dem der Angreifer versucht, Domains zu registrieren, die anderen Namen sehr ähnlich sind. Dabei setzen die Kriminellen oft auf Typosquatting, um die Unachtsamkeit der User im Netz für sich auszunutzen.

Anschließend wird entweder dem Opfer ein Angebot gemacht, die ähnlich lautenden Domains zu erwerben, oder der Besucherverkehr auf den Fake-URLs wird an die Konkurrenz verkauft. In beiden Fällen handelt es sich um eine lukrative Aktion. Abhängig vom Wert der gekaperten Marke und dem Besucherverkehr auf der Seite, wechseln solche Hijacked Domain für mehrere 10.000€ den Besitzer.

V

Ein Computer Virus kann sich, wie sein biologischer Namenvetter auch, nur mit Hilfe eines Wirts selbst reproduzieren. Das bedeutet die Schadsoftware kann sich erst nach dem Öffnen des Wirtzprogramms selbstständig in Netzwerken und auf verschiedenen Geräten verteilen. Man unterscheidet in vier unterschiedliche Gruppen von Viren. Jede dieser Gruppen benutzt einen anderen Wirt, um sich selbst zu verbreiten.

Die vier bekanntesten Arten von Viren sind:

Programm Viren

Programm Viren sind Teil eines Programms oder einer Anwendung auf dem Endgerät. Sie nutzen die Software, um sich vor Anti-Viren Scannern zu verstecken und um sich zu vermehren.

Boot Sector Viren

Boot Sektoren Viren nisten sich nicht wie die meisten anderen im Betriebssystem ein, sondern setzen eine Ebene tiefer, in den Bootsektoren der Festplatte an. Diese Art von Virus ist besonders schwer zu erkennen und zu „desinfizieren“, da herkömmliche Anti-Viren Programme zum Zeitpunkt des Bootvorgangs noch nicht aktiv sind.

Script Viren

Skriptbasierte Viren nutzen verschiedene Skripte im Browser oder dem Betriebssystem selbst aus, um sich zu verbreiten. Häufige Vertreter dieser Virenart sind JavaScript-, Java- und Visual Basic-Viren. Meist werden Schwachstellen in Internetbrowsern ausgenutzt, um die jeweiligen Skripte auf dem Rechner ausführen zu lassen.

Macro Viren

Macro Viren sind eine spezielle Ausprägung von Script Viren. Diese Viren bedienen sich einiger Eigenheiten von Office Produkten, den sogenannten Macros. Diese Macros sind Anwendungen, Codestücke oder Funktionen, die in verschiedenen Office Anwendungen eingebaut werden können. Diese Funktionen werden durch die Macro Viren ausgenutzt, um von einem Dokument weiter in das Betriebssystem vorzudringen.

Aufgrund des häufigen Vorkommens dieser Art von Virus werden zum Glück in vielen Firmen und Betriebsnetzen solche Macro Anwendungen in Office Produkten durch die IT Abteilung bereits deaktiviert.

Virtual Private Networks (VPNs) schützen Verbindungen zu Servern, Netzwerken und anderen Geräten, indem Sie einen verschlüsselten Tunnel zwischen den Endpunkten erzeugen. Alle Daten, die in diesem Tunnel übertragen werden, können nur von den beiden beteiligten Parteien entschlüsselt werden.

Wenn man sich beispielsweise in einem Kaffee in ein freies Wlan Netzwerk einwählt, läuft man Gefahr, dass der gesamte Internetverkehr mitgelesen werden kann. Mit einem VPN Programm auf dem Laptop oder Smartphone ist das nicht mehr einfach möglich. Die Software auf dem Gerät stellt eine sichere Verbindung zu einem VPN Server her. Lauscht nun ein Angreifer im Kaffee-Wlan mit, sieht er lediglich einen verschlüsselten, für ihn nicht lesbaren Datensalat.

Ein weiterer Pluspunkt bei der Verwendung von VPN Programmen beim Surfen ist die Anonymität. Mit einem VPN ist es deutlich schwerer zuzuordnen, wer sich hinter der IP Adresse bzw. dem Browser befindet. Das schützt zwar nicht bei kriminellen Handlung, gewährt aber ein gewisses Maß an Privatsphäre im Netz.

Bei der Auswahl eines VPN Anbieters sollte man auf einige Punkte achten:

• – In welchem Land befindet sich der Firmensitz des Anbieters
• – In welchen Ländern und Regionen stellt der Anbieter Server bereit
• – Welche Bezahlmethoden erlaubt der Anbieter

W

Ein Wireless Access Point ist kein “Wlan-Router”, wie man ihn von klassischen Heiminstallationen kennt. Ein WAP ist eine Brücke zwischen einem kabelbasierten Netzwerk (Ethernet) und drahtlosen Geräten wie Smartphones und Laptops.

Zum Einsatz kommen Wireless Access Points meist in Firmengebäuden, öffentlichen Einrichtungen und im Nah- und Fernverkehr. Angeschlossen an bereits vorhandene Netzwerkleitungen, erlauben sie kontrollierten Zugriff von drahtlosen Geräten auf ein Netzwerk.

Die Begriffe Wardriving und Warflying leiten sich von dem ältern Ausdruck Wardialing ab. Wardialing bezeichnete früher das Ausprobieren von verschiedenen Telefonnummern, um offene Modemzugänge zu finden.

Beim Wardriving werden keine offenen Modems, sondern Wlan Zugangspunkte ausgekundschaftet. Dabei fährt man mit einem Auto, Fahrrad oder dem Bus durch eine Gegend und scannt währenddessen mit entsprechender Hardware nach vorhandenen Wlan Netzwerken.

Der Begriff Warflying ist eine Weiterentwicklung und umschreibt das „Abfliegen“ von Gebieten mit Drohnen und Modelflugzeugen.

Watering Whole Attacken werden meist eingesetzt, wenn Kriminelle ein Ziel angreifen das sehr gut geschützt ist. Oftmals gibt es keinerlei Möglichkeit direkt in das Netzwerk des Ziel-Unternehmens einzudringen, da Firewalls, IDS und IPS Systeme dies verhindern.

Der Angreifer nutzt in diesem Szenario eine andere Webseite oder ein nahes Kaffee, um dort auf Mitarbeiter des Zielunternehmens zu warten. Sobald sich der Mitarbeiter in das (weit weniger geschützte) WLAN einloggt bzw. die kompromittierte Website ansurft, attackiert er ihn, verglichen mit einem Krokodil, das in einem Wasserloch auf Beute lauert. Gerne werden branchenrelevante Webseiten, die viel leichter zu infiltrieren sind, gekapert, um dort auf Besucher der Zielfirma zu warten und sie mit schadhaften Programmen zu infizieren.

Whitelisting ist eine Technik, die oft in der Informatik eingesetzt wird. Beim Whitelisting werden beispielsweise E-Mail– oder IP-Adressen, die für ein Unternehmen und deren Kommunikation wichtig sind, in eine Whitelist eingetragen. Es werden in diesem Fall, nur noch Mails von Sendern aus der Whitelist durchgelassen, alle anderen werden blockiert.

Dieses Konzept lässt sich auch auf WLAN Zugangspunkte oder Internetverbindungen zu Webseiten anwenden. Man kann sich Whitelisting wie einen Besuch im Club vorstellen:

Türsteher: „Heute darf nur rein, wer auf der Gästeliste steht, NIEMAND anderes“

Bei einer Wireless Disassociation Attack sorgt der Angreifer dafür, dass alle oder nur bestimmte Geräte die Verbindung zum WLAN Zugangspunkt verlieren. Dabei sendet der Angreifer sogenannte „Disassociation Frames“ an die Geräte, die er vom Netzwerk trennen möchte.

Diese Art des Angriffs fällt unter die Kategorie Denial of Service und wird oft dazu genutzt, um die zuerst getrennten Geräte anschließend auf einen eigenen Rogue Accesspoint oder einen Evil Twin zu lotsen. Gewisse Wireless Jammer arbeiten unter anderem nach diesem Prinzip.

Wireshark ist ein Programm, mit dessen Hilfe sich der Verkehr in einem Netzwerk analysieren lässt. Das Tool zeichnet einzelne Datenpakete auf die über Ethernet, Wlan oder auch Bluetooth gesendet werden. Um diese Massen an Daten zu analysieren, stellt Wireshark umfangreiche Filter bereit.

Würmer unterscheiden sich von Viren in der Form, dass sie zur Ausführung, Reproduktion und Verbreitung keinerlei Interaktion durch den Benutzer oder ein Wirtsprogramm benötigen. Würmer vermehren sich selbstständig über interne Netzwerke und das Internet.

Einer der bekanntesten Vertreter dieser Art aus der vergangenen Zeit ist „WannaCry“. Diese Schadsoftware trieb Mitte 2017 weltweit ihr Unwesen und sorgte dafür, dass in kürzester Zeit mehr als eine viertel Million Geräte in über 150 Ländern mit sogenannter Ransomware infiziert wurden.

X

Y

Z

siehe nmap

Zero-Days sind Lücken in Systemen und Software, die genau 0 Tage bekannt sind, daher der Name 0-Day. 0-Day Lücken sind der heilige Gral der Sicherheitsforscher und Hacker zugleich. Mit ihnen lässt sich meist komplett unbemerkt in ein System eindringen. Solange der Hersteller der Software nichts von dieser Lücke erfährt, kann das betroffene System auch nicht gepatched werden.

Jede Software und jedes System hat Schwachstellen und Lücken. Eine Auflistung der meisten bekannten Lücken in Software findet sich auf der Seite:

https://cve.mitre.org/

Die hier aufgeführten Lücken und Schwachstellen werden nach ihrem Einreichen bzw. Bekanntwerden mit einer „Common Vulnerabilites and Exposures“ (CVE) Nummer versehen. Diese CVE Nummer erlaubt eine eindeutige Zuordnung und bessere Nachverfolgbarkeit von Schwachstellen. Nicht alle dieser aufgelisteten Lücken sind bereits von den Herstellern geschlossen worden.