Dieter Kochheim, <strong>Cybercrime</strong> - 42 -men möglich. Beim verteilten Rechnen 211 werdendie Verarbeitungsvorgänge zu ihrer Beschleunigungauf verschiedene Systeme und ihre Ergebnissezentral zusammen geführt 212 . Ohne dieseTechnik wären Google und andere große Netzanwendungennicht denkbar.Sie kann von der Malware - vor Allem in Botnetzen,die über eine Vielzahl von Rechnern verfügen -dazu genutzt werden, den gezielt angegriffenenRechner nur mit geringfügigen Lese- und Schreibprozessenzu belasten und die kapazitätsintensivenund auffälligen Prozesse auf andere Rechnerzu verteilen (Brute-Force-Methode 213 zumCracking 214 ).A.3 4.4 laufender BetriebNeben dem direkten Eingriff auf Systemkomponentenversucht vor Allem die klassische Malwaresich in laufende Verarbeitungsprozesse einzuschleichen.Das geschieht beim Bootvorgangebenso wie beim laufenden Betrieb.Anfällig dafür sind solche Programme, die im Hintergrundlaufen und die Arbeit mit dem PC erleichternsollen. Besonders bekannt geworden sind insoweitdie E-Mail-Browser, die die Anhänge von E-Mails 215 automatisch ausführen. Moderne Programmeverhindern das und untersuchen die Anhängezugleich auf schädliche Inhalte. Die Malworkersind deshalb dazu übergegangen, dem AnwenderVersprechungen zu machen, um ihn zumunbedarften Programmstart zu bewegen.Aber auch andere Anwenderprogramme sind anfällig.Das Office-Paket von Microsoft 216 stellt mit VisualBasic for Applications - VBA 217 - eine Umgebungfür selbst ausführende Makros 218 zur Verfügung,die auch mit schädlichem Code bestückt211WP, Verteiltes Rechnen212Siehe: CF, Passwort vergessen? Cloud hilft!19.12.2009213WP, Brute-Force-Methode214WP, Cracker (Computersicherheit)215WP, Dateianhänge216WP, Microsoft Office217WP, Visual Basic for Applications - VBA218WP, Makrosein können und mit Word-Dokumenten 219 ,Excel-Tabellen 220 oder Powerpoint-Präsentationen 221 verbreitet werden.Inzwischen wird auch von infizierten PDF-Dokumenten 222 (Adobe 223 ) berichtet 224 , die alsLaufzeitumgebung nach Java (for Applications 225 )verlangen. Dasselbe gilt für den FlashPlayer 226von Adobe 227 .Hinter der Makrosprache VBA stecken Programmmodule,die unter ActiveX 228 zusammengefasst werden und die Datenverarbeitung unterstützen.Das gilt besonders für grafiklastige Anwendungen,z.B. für Computerspiele.Besonders Trojaner, aber auch andere selbstablaufendeProgramme (mit .exe und anderenExtensionen) nutzen hingegen die Kommandoumgebung,die das Betriebssystem zur Verfügungstellt.Daneben dienen, wie schon gesagt, exotischeAbspielprogramme für Musik und Videos sowieals besondere Software für geschlossene Anwenderkreisebeworbene Programme zum Transportvon Malware. Dies gilt besonders für instinktorientierteOnline-Angebote 229 und Warez-Seiten 230 .219WP, Microsoft Word220WP, Microsoft Excel221WP, Microsoft PowerPoint222WP, Portable Document Format - PDF223WP, Adobe Systems224Angriffe über präparierte PDF-Dateien werdenausgefeilter, Heise online 03.06.2008225WP, Java (Programmiersprache)226WP, Adobe Flash227Kritische Schwachstelle im Flash Player wird aktivausgenutzt, Heise online 28.05.2008228WP, ActiveX229CF, instinktorientierte Online-Angebote, 23.01.2008230WP, Warez
Dieter Kochheim, <strong>Cybercrime</strong> - 43 -A.3 4.5 onlineDer Anwender, der eine fremde Webseite aufruft,gibt dabei einige Basisdaten über sich preis. Dasist zunächst die nummerische Internetadresse, mitder er sich bewegt und die ihm in aller Regel vonseinem Zugangsprovider vorübergehend (dynamisch)zugewiesen wird. Daneben offenbart erauch den Typ seines Webbrowsers und seinen"Referrer" 231 , wenn er etwa eine Suchmaschineoder eine Linksammlung genutzt hat.Auch die auf seinem System vorhandenen Cookiessind lesbar, wenn sie vom Zielserver angefordertwerden, und können weitere personenbezogeneDaten enthalten. Das gilt besonders für die HTTP-Cookies 232 , die vom Webbrowser gespeichert undübermittelt werden.Diese relativ allgemeinen Informationen sind nichtbesonders gefährlich und bieten nur wenige Angriffspunkte.Sie offenbaren allerdings die persönlichenNeigungen und Eigenschaften des Anwenders,die zum Social Engineering missbrauchtwerden können.Wegen der im Browser gespeicherten Zugangsdatenfür das Homebanking oder Shopping im Internetsieht das schon anders aus. Sie können zwarnicht unmittelbar ausgelesen werden, wohl aber,wenn es dem Angreifer gelingt, den PC mit Malwarezu infiltrieren.Die dazu verwendeten Methoden wurden bereitsangesprochen. Es handelt sich um das DNS-Poisoning 233 , bei dem die interne Host-Datei soumgeschrieben wird, dass der Browser zu einernachgemachten und präparierten Seite geführtwird, die iframe-Umleitung 234 und das Hacking vonDatenbanken für die Bestückung dynamischerWebseiten (SQL-Injection 235 ).Die aufgerufene Webseite kann zudem so präpariertsein, dass sie unter Ausnutzung von Schwachstellenim Browser eigene Aktivitäten ausführt. Diedazu verwendeten Kommandos können sowohl im231WP, Referrer232WP, HTTP-Cookie233Siehe oben.234Siehe oben.235WP, SQL-InjectionQuellcode der Seite (vor Allem Java-Script 236 )oder in einem plötzlich erscheinendenWerbefenster (Pop-up 237 ) eingebunden sein.Dasselbe gilt für iFrames 238 , die häufig fürWerbeeinblendungen von fremden Seitenverwendet werden und deshalb auch zurEinschleusung von Schadcode missbrauchtwerden können.Diese aktiven Funktionen können dann zu einemDrive-by-Download 239 führen, bei dem alleinschon das Aufrufen der Seite dazu reicht, dassdie Malware unbemerkt zum Anwender übermitteltwird.Besondere Vorsicht ist geboten, wenn die Websiteein Plug-in 240 zum Download anbietet, das angeblichfür irgendwelche besondere Dienste notwendigsei. Damit soll in aller Regel der Browsermanipuliert und die Malware direkt installiert werden.Ganz ähnlich funktioniert die Verbreitung überPeer-to-Peer-Netzwerke 241 (Tauschbörsen 242 ),wobei der Download nicht von einem Webserver,sondern von einem Partner erfolgt.Ganz unbemerkt kann ein Angreifer dann die Malwareeinsetzen, wenn bereits eine "Hintertür"(Backdoor 243 ) besteht, die entweder mit einemRootkit 244 oder bereits herstellerseits eingerichtetwurde (Fernwartung 245 ). Besonders gefürchtetsind insoweit Telefonanlagen 246 , die häufig einedirekte Verbindung zum informationsverarbeitendenSystem haben und das besonders dann,wenn Voice-over-IP 247 - VoIP - genutzt wird (Internettelefonie).236WP, JavaScript237WP, Pop-up238WP, Inlineframe239WP, Drive-by-Download240WP, Plug-in241WP, Peer-to-Peer242WP, Tauschbörse243WP, Backdoor244WP, Rootkit245WP, Fernwartung246CF, Telefonanlagen247WP, IP-Telefonie
- Seite 2 und 3: Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5: Dieter Kochheim, Cybercrime - 4 -57
- Seite 6: Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10: Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12: Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14: Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41: Dieter Kochheim, Cybercrime - 41 -r
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94:
Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96:
Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98:
Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100:
Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102:
Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104:
Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106:
Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108:
Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110:
Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112:
Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114:
Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116:
Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -