Persönliche Firewalls

Workshop 7 (S. 174-176)

Ein Angriff auf Ihren Rechner

Es vergeht kaum ein Tag, an dem Sie nicht irgendwelche Horrormeldungen lesen, dass der eine oder andere Server geknackt wurde und für ein paar Stunden oder Tage vom Netz musste. Die Schlagzeilen über das Einbrechen in private PCs hingegen halten sich in Grenzen. Aber nicht, weil solche Dinge nicht passieren, sondern weil es einfach zu häufig passiert! Wenn Sie bereits die vorherigen Workshops besucht haben, erhielten Sie ja bereits etliche dieser Warnungen bzw. Meldungen Ihrer Firewalls. Und nicht zuletzt durch msblaster wissen Sie, wie einfach es obendrein ist, private Rechner zu übernehmen und zu missbrauchen – und dass es geschieht!

Wir wollen in diesem Workshop zwei Dinge untersuchen: 1. Wie reagieren unsere Firewalls auf einen Angriff, der aus dem Internet kommt? 2. Wie reagieren unsere Firewalls auf einen Angriff, der von unserem eigenen Rechner kommt? Sie dürfen auf beide Ergebnisse gespannt sein! Eine kleine Warnung möchte ich Ihnen aber doch mit auf den Weg geben. Es gibt so viele verschiedene Angriffsmöglichkeiten und täglich werden weitere entwickelt – neue Software, neue Technik machen es möglich! Wie auch immer unsere Firewalls bei den folgenden Tests abschneiden, Sie dürfen das Thema Sicherheit nicht aus den Augen verlieren. Doch nun zu einem einfachen Angriff aus dem Internet.

7.1 Der Angriff kommt aus dem Internet

Wenn Sie so wollen, können wir jeden Angriff, der aus dem manchmal bösen Internet kommt, in drei Phasen unterteilen: Finden, Eindringen, Abräumen.

Diese Phasen schauen wir uns kurz an:

Das Finden Ihres Rechners

Wir nehmen nun mal einen Bösewicht her (es kann auch eine Bösewichtin sein), der vor seinem Computer sitzt, irgendwo kurz vor dem Ende der Welt. Wie soll der Ihren Rechner finden? Stellen Sie sich dazu ein Telefon vor, das automatisch Rufnummern wählen kann. Sie müssen lediglich noch die Vorwahl angeben, das Telefon probiert dann einfach nacheinander alle möglichen Rufnummern aus. Wenn zehn Sekunden lang kein Antwortzeichen erfolgt, kommt die nächste Nummer dran. Wenn besetzt ist, kommt ein Haken an die Nummer (existiert!) und ein Vermerk, es später nochmals zu probieren. Und wenn gar abgehoben wird, dann ist sofort Kommunikation möglich. Der Nachteil liegt ganz klar bei den langen Wartezeiten und die Gebühren sind auch nicht zu vergessen. Beim Internet ist fast alles anders.

Das Wählen einer Rufnummer geht so schnell, wie der Prozessor IP-Adressen variieren kann, und das Hackertool diese in handliche Ping-Pakete packen kann. Und es braucht nicht auf Antwort gewartet zu werden, da Antwort und neue Anfrage in eine Leitung passen (das ist das Schöne an den handlichen Paketen). Kommt keine Antwort, dann ist die IP-Adresse unbenutzt. Kommt eine Antwort, gibt’s schon mal die IP-Adresse, und wenn dort gleich anschließend ein offener Port gefunden wird, kann der Angriff in die nächste Phase treten. Was lernen wir daraus? Keine Antwort auf unbekannte Anfragen aus dem Internet! Ein normaler Windows-Rechner antwortet auf jede Anfrage aus dem Internet, unsere Firewalls werden das hoffentlich nicht tun!

Das Eindringen in den Rechner

Nachdem also die Bösewichtin Ihren Rechner anhand einer (etwas zu) höflichen Antwort gefunden hat, geht es darum, offene Türen und/oder Fenster zu finden. Solche Sachen heißen bei einem Computer offene Ports, und etwas exakter sind das logische Adressen, an denen eines Ihrer Programme auf eine Antwort wartet. Wartet kein Programm, ist der Port geschlossen. Wartet ein Programm, ist der Port geöffnet. Nun könnten Sie ja eigentlich beruhigt sein, wenn keines Ihrer Programme gestartet ist. Doch da haben Sie die Rechnung ohne Windows gemacht! Windows hat immer ein paar Überraschungen auf Lager, und so ist es kein Wunder, dass mindestens ein Port standardmäßig geöffnet ist. Und bitte hoffen Sie nicht, dass die Bösewichtin das nicht weiß!