Hacking und Hackerabwehr - Karlsruher Institut für Technologie (KIT ...
Hacking und Hackerabwehr - Karlsruher Institut für Technologie (KIT ...
Hacking und Hackerabwehr - Karlsruher Institut für Technologie (KIT ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Ausbreitungsstrategien 31<br />
3. Positives Ergebnis, senden einer Kopie von sich an das Opfer mit der Hälfte der Hit-<br />
Liste.<br />
4. Abarbeiten der Liste fortsetzten.<br />
Mit dieser Technik ist es möglich sämtliche Maschinen auf der Hit-Liste innerhalb einer Minute<br />
zu infiltrieren, selbst wenn nur in etwa 10% dieser Computer zum Einnisten nutzbar sind.<br />
Es existieren mehrere Algrithmen eine Hit-Liste zu generieren, wobei eine solche Liste allerdings<br />
keine Garantie darauf gibt, dass die gef<strong>und</strong>enen Systeme auch verletzlich sind:<br />
• Mit Hilfe von heimlichen Scans:<br />
Diese Art der Listenerstellung dauert bis zu einigen Monaten. Zwischen den einzelnen<br />
Scans wird pausiert, um keine Aufmerksamkeit zu erregen. Die Wahrscheinlichkeit, dass<br />
ein Sicherheitssystem ein solches Scanverfahren erkennt, sinkt je langsamer gescannt<br />
wird, da es keine Möglichkeit gibt einen Zusammenhang der einzelnen Scans festzustellen.<br />
• Mit Hilfe von öffentlichen Statistiken:<br />
Internetstatistiken machen es den Schöpfern leicht an Listen zu gelangen, ohne zu scannen.<br />
Beispielsweise Netcraft’s Top 50 der am meist aufgerufendsten Webseiten.<br />
4.2.5. Topologisches Scanning<br />
Der Schädling ist sich bei dieser Form des Scanning seiner Umgebung bewußt. Er verwendet<br />
Informationen der Maschine auf der er sich befindet <strong>und</strong> nutzt diese zum Weiterverbreiten.<br />
Topologisches Scanning wird z.B. von eMail-Viren intensiv genutzt, was wiederum die Grenze<br />
zwischen Wurm <strong>und</strong> Virus verwischt. Sie verwenden Kontakte aus dem Adressbuch des<br />
Opfers <strong>und</strong> senden ihnen eine Kopie ihres Wirtes. Diese Variante des Scannings könnte in der<br />
Zukunft von großer Bedeutung werden. Zum Zeitpunkt der Erstellung dieses Dokuments ist<br />
kein Schädling bekannt, der diese Technik nutzt.<br />
Im Vergleich zum Hit-List Scanning hat topologisches Scanning einen entscheidenden Vorteil,<br />
der Wurm würde zu Anfang des Scannprozesses mit einer hohen Wahrscheinlichkeit gültige<br />
<strong>und</strong> funktionierende Server finden, da er sie lokal von z.B. der Festplatte seines Opfers liest.<br />
4.2.6. Blitz Würmer<br />
Der Begriff ” Blitz Wurm“ (in der Literatur unter ” Flash Worm“ bekannt), benutzt eine variante<br />
des topologischen Scanning-Verfahrens, um Server innerhalb kürzester Zeit zu infiltrieren.<br />
Dazu wird vor dem Aussetzen des Wurms eine Liste von so vielen Maschinen wie möglich<br />
erstellt, die an das Internet angeschlossen sind, was eine Liste von etwa 12,6 Millionen Adressen<br />
ergeben würde. Diese Liste wird nun auf mehrere Würmer verteilt, die nun eine Adresse<br />
nach der anderen abarbeiten.<br />
Sobald eine verletzliche Maschine gef<strong>und</strong>en wurde, kopiert sich der Wurm auf diese <strong>und</strong><br />
sendet, da die gesamte Liste ist zu groß ist, um sie auf einmal zu verschicken, Teile davon an<br />
seine Kopie. Der neue Schädling empfängt sie <strong>und</strong> scannt gleichzeitig, mit Hilfe von mehreren<br />
Prozessen, nach weiteren verletzlichen Maschinen.<br />
Mit diesem recht auffälligen Scannverfahren ist es in kürzester Zeit möglich den gesamten<br />
Adressraum auf Verletzlickeit zu prüfen <strong>und</strong> gegebenfalls zu infizieren.