Beruflich Dokumente
Kultur Dokumente
MARKO ROGGE
Gefahrenquellen
für die Internet-
Geschäfte
Schwierigkeitsgrad
Als offene Netzinfrastruktur bietet das Internet neben seinen
Potentialen leider auch viele Gefahren, die mit der wachsenden
Akzeptanz und Nutzung der Infrastruktur und seiner darüber
abgewickelten Kommunikations- und Interaktionsvorgänge
eine für die Gesamtentwicklung ernst zu nehmende Bedeutung
einnehmen.
V
om klassischen Computer-Virus Angriff und Ausschaltung
über Datenklau- und -manipulations- der E-Commerce-Anwendung
mechanismen bis hin zu Server- Der Angriff auf die E-Commerce-Infrastrukutr
Lahmlegungen wartet die dunkle Seite des und die darin laufenden Anwendungen ist wohl
Internets mit einer ganzen Bandbreite von das älteste Problem, mit dem Internet-Anbieter
Risiken auf, die insbesondere bei einer zu kämpfen haben. Zu unterscheiden sind hier-
wirtschaftlichen Nutzung eine deutliche bei die Übernahme und kontrollierte Steuerung
Bedrohung darstellen. Angreifer sind vielfach von Systemen mit Hilfe von Computer-Viren wie
nicht mehr nur IT-verliebte Hacker oder z.B. Win32/Sasser und die Angriffe auf Systeme
Spammer, sondern vielmehr Personen und durch nicht zu verarbeitende Anfragen auf die
Organisationen, die gezielt kriminelle Ziele System mit dem Ziel der Lahmlegung der Syste-
verfolgen und Schwachstellen der Infrastruktur me durch Auslastung der Rechnerkapazitäten.
und der darin laufenden Anwendungen zu ihren
Zwecken ausnutzen. Neben dem monetären DDoS Angriffe
Schaden entsteht dabei insbesondere bei Diese Art von Angriffen (Distributed Denial of
IN DIESEM ARTIKEL E-Commerce-Anbietern ein viel höherer und Service, DDoS) ist aufgrund der Verteilung von
ERFAHREN SIE:
im schnelllebigen Internet-Geschäft oftmals Rechnerkapazitäten sehr gefährlich. Ein Urheber
Welche Gefahren drohen in
Onlineshops für Betreiber und irreparabler Image-Schaden, den es gilt mit ist schwer zu ermitteln, da diese meistens ein
für Kunden, entsprechenden Maßnahmen zu bekämpfen ganzes Botnet betreiben und steuern, und sich
Angriffsszenarien im Detail bzw. von vornherein auszuschließen. Welche über Proxyserver verstecken.
vorgestellt,
unterschiedlichen Gefahrenquellen zu Eines der mächtigsten und bekanntesten Pro-
Fallbeispiel, berücksichtigen sind, soll daher im folgenden gramme, um DDoS-Attacken erfolgreich auszu-
Schutzmaßnahmen. Artikel aufgezeigt werden. führen ist TFN2k, Tribe Flood Network 2000.
Unterschieden werden dabei drei verschie- Es gibt mehrere Arten von Angriffen,
WAS SIE VORHER dene Gefahrenarten, die an verschiedenen die koordiniert werden können, darunter
WISSEN/KÖNNEN
Punkten im Rahmen der E-Commerce-Trans- UDP (Bandbreitenüberlastung durch UDP-
SOLLTEN:
aktion einwirken können: zum einen auf der Pakete, und ICMP-Fehlermeldungen, die vom
Grundlagen Webserver und
Applikationen, Anwender-Seite durch Täuschung, zum ande- Angriffsziel generiert werden, wenn ein UDP-
XSS, SQL und PHP Kenntnisse, ren durch eine Manipulation konkreter Trans- Paket auf einen geschlossenen Port trifft), durch
Grundlagen Internetshops;
aktionsvorgänge und letztendlich durch den ICMP-Pakete (Ping-Anfragen die entsprechend
Angrif f und die Ausschaltung ganzer Ser ver Ping-Antworten generieren), sowie TCP/SYN-
Wissen über Phishing, DDoS,
Man-in-the-Middle. und E-Commerce-Angebote. Angriffe (permanente Anfragen von zufälligen
Quelladdressen, neue TCP-Verbindungen den Transaktionen mit dem Kunden nicht ein Angreifer zum einen die Daten mani-
aufzubauen, was nicht nur die Bandbreite, mehr sicher. Darüber hinaus bieten aber puliere, und den Server für weitere Angriffe
sondern auch die Resourcen von auch viele Anwendungen bereits eigene mißbrauchen kann. In der Regel treten SQL
Serverprogrammen, etwa eines Apache Schwachstellen, die von Angreifern ohne Injektions dann auf, wenn die Parameter, die
Webservers, sowie von Betriebssystemen direktes Eindringen und Ausführen von von einem Benutzer angegeben werden,
überlastet). Programmen mit Hilfe von Viren oder an- nicht gesondert geprüft und so an die Da-
Darüber hinaus bietet TFN2k die ver- deren Zugriffsmethoden ausgenutzt wer- tenbank weiter gereicht werden. Es sollte bei
teilte Targa3-Attacke. Hierbei handelt es den können. Hierzu zählen vor allem die Datensätzen in der Eingabe immer darauf
sich um Pakete, die mit zufälligen Werten im folgenden erläuterten SQL Injection geachtet werden, dass diese auch den rich-
erstellt werden. Es kann sich also um UDP, Bugs und das Cross-Site-Scripting (XSS). tigen Datentypen entsprechen. Beispiels-
ICMP, IGMP, TCP, oder andere Protokolle weise dürfen Zahlen nur aus echten Ziffern
handeln, um Fragmente, oder nach den Angriff durch SQL Injection bestehen und dem Dezimaltrennzeichen.
Protokollstandards völlig ungültige Pakete. Bugs Stored Procedures sind hier eine Möglich-
Dies stellt eine Herausforderung für Unter Serverseitigen Angriffen versteht keit auf Sicherheit zu setzen.
die Implementation des Netzwerksubsys- man das Ausnutzen von Schwachstellen Sind Stored Procedures die einzige
tems vieler Betriebssysteme dar, die nicht der Software in Shopsystemen etc. Hier- Methode – kann ich das nicht auch durch
alle Sonderfälle von ungültigen Datenpa- bei kann es in PHP, SQL oder direkt in Überprüfung der INSERT-Statements
keten ohne weiteres verarbeiten können. den Serverbetriebssystemen zu Angriffen abfangen?
Zu den weiteren Features von TFN2k kommen, wenn Software nicht auf dem Die Benutzereingaben in einem Pro-
zählen Decoy-Pakete, also Dummies, die aktuellsten und sichersten Stand ist. gramm werden dabei in so genannte
zusätzlich zu den echten verschickt wer- In sehr vielen Fällen ist es möglich, Stored Procedures übergeben. Erst dort
den können, um eine Entdeckung des durch Schwachstellen in Datenbanken via wird dann die tatsächliche SQL-Abfrage
Traffics zusätzlich zu erschweren. TFN2k SQL direkt auf diese Zugriff zu erhalten. durchgeführt, wodurch ein Zufügen weiterer
ist darüber hinaus Multi-Plattform-fähig, Alle hier abgelegten Daten von Kunden Abfragen oder Codes nicht möglich ist.
läuft also auf den meisten gängigen Be- und Produkten etc. sind somit frei verfügbar. Vorsicht ist jedoch bei Microsoft SQL-
triebssystemen. Das bedeutet, es wäre Ein Angreifer hätte so die Möglichkeit, Servern geboten. Bei einigen dieser Server
möglich, DDoS-Server auf Linux, Sola- die gesammelten Daten an einen Wettbe- werden Stored Procedures mitgeliefert, die
ris, BSD und Windows NT Systemen zu werber zu verkaufen. es ermöglichen über eine Shell einen wei-
installieren, und Angriffe von all diesen Diese Art ist nicht unbekannt und wird teren Benutzer in der Datenbank anzulegen,
Systemen gleichzeitig zu koordinieren. oftmals verheimlicht; Betroffene melden und so Zugriff auf den Server zu erlangen.
solche Zwischenfälle aus Scham zu sel- Eine weitere Schutzmaßnahme die
Abwehrmaßnahmen ten den Behörden. gegen SQL Angriffe wirksam ist kann
Erfolgreiche Abwehrmaßnahmen können nur SQL Injektion Bugs ist eine der Mög- direkt in PHP integriert werden und eine
direkt beim Provider getroffen mittels starken lichkeiten, Daten einzuschleusen, Daten zu Angriffsfläche wird nicht geboten. In PHP
Firewalls und Loadbalancern werden. Fire- verändern oder Administrator-Rechte auf kann man das mit der Funktion mysql_
walls erkennen in der heutigen Zeit bereits einem Server zu erhalten. Folge wäre, dass escape_string erledigen. Wichtig hierbei
recht früh, wenn sich eine DDoS Attacke
ankündigt und können die Kommunikation DDoS Programme
unterbinden. Von Erfolg ist dies nicht immer
Packetstrom Security
gekrönt, da im Nachgang das System dann
nicht mehr erreicht werden kann. Diese Vor- • http://packetstormsecurity.org/distributed/ – DDoS Programme
gehensweise ist aber nicht im Interesse eines • http://www.brain-pro.de/Seiten/ddos/ddos.htm – TFN2k im Detail
Diensteanbieters, und so kann man versu- • http://staff.washington.edu/dittrich/misc/tfn.analysis – David Dittrich
chen, über einen Lastenausgleich (Loadba- • http://www.heise.de/tp/r4/artikel/5/5766/1.html – Hintergrund
lancern) einer DDoS Attacke entgegen zu
wirken. Bei der Auswahl eines Providers, wo
der Server steht, sollte auf solche Sicherheits- Botnets
maßnahmen geachtet werden.
Botnets sind Netzwerke von mehreren tausend und mehr Computern die fernsteuerbar sind und ge-
zielt für Spam oder DdoS Angriffe benutzt werden können. So genannte Bots werden auf Computern
Angriff auf den die ungeschützt sind über andere Schädlinge eingeschleust und können dann von einem Botnet
Datenaustausch Betreiber gesteuert werden. Hierbei wird immer mehr darauf geachtet, daß man diese Botnets so
und die Transaktion sicher wie möglich und unsichtbar aufbaut. Diese können dann je Stunde oder je Angriff gemietet
Ist ein Server erst einmal in der Hand ei- werden und so nutzen Cyberkriminelle Botnets um Schutzgelderpressungen durchzuführen. Details
nes Angreifers, sind natürlicherweise auch dazu in einer Studie von McAfee:
http://www.harvardpr.com/home/article_details.asp?id=7225
die Anwendungen und die darin ablaufen-
Ein Angriff dieser Form und Art ist im- Die geparkte Domain gehört der Firma um möglicherweise Opfer von Attacken via
mer sehr gefährlich da die Trojaner immer Cygnus Design aus San Diego, Californien. Phishing oder Computerwürmern zu werden.
ausgefeilter programmiert werden und Administrativer Kontakt ist Steve Aitchison aus Kunden sollten auf einer Informations-
Funktionen besitzen sich mehrfach in das Bellingham, Washington. seite aktuelle Sicherheitshinweise erhal-
System zu schreiben und dadurch noch Die Kopfzeile X-Source-Dir der Mail zeigt ten, und es sollte Kunden und Besuchern
schwerer zu entdecken. auf ein Mail-Script auf pharmacongress.com. der Seite oder des Internetshops erklärt
Derzeit arbeiten Sicherheitsexperten Diese Website enthält Informationen über werden, in welchem Umfang und welche
auf der ganzen Welt daran, entsprechen- einen Pharmaziekongress. Interessant hier: Art von E-Mails an ihn zugestellt werden.
de Sicherheitslösungen zu entwickeln die Die Website scheint von Cygnus Design, Sehr gute Anti-Spam-Software erkennt
auch diese Art der Angriffe zuverlässig den Inhabern der Domain cygnusnet.com auch anhand einfacher Codeschnipsel in
abwehren kann. erstellt und registriert zu sein. E-Mails, ob es sich hierbei um eine Spam
Als technischer Ansprechpartner taucht und/oder Phishing E-Mail handelt.
Fallbeispiel wiederum Steve Aitchison aus Washington Anti-Spam-Lösungen wie Spamassas-
Einen Fall möchten wir Ihnen im Detail nicht auf. Tino Fritzsch von Nutzwerk vermutet sin sind trainierbar und lernen selbständig,
vorenthalten, der deutlich die steigenden anhand dieser Indizien, dass der Ser- einmal als Spam/Phishing markierte E-
Gefahren von Phishing aufzeigt. ver pharmacongress.com missbräuch- Mails dann sofort und dauerhaft auszufil-
Anfang Dezember 2005 fielen Tino lich für den Versand der Ebay-Phishing- tern. (http://spamassassin.org/index.html)
Fritzsch, Softwareentwickler des Safer- Mails verwendet wurde. Möglich wird so So gelangt beim Kunden dann nur die
Surf-Labors der Leipziger Firma Nutz- etwas, wenn Passwörter für Accounts ge- E-Mail im Postfach, die auch tatsächlich
werk, E-Mails des Auktionshauses auf. stohlen oder geknackt wurden, erklärt er. als echte E-Mail identifiziert wurde.
Wir entwickeln gerade einen Phishing- Nutzwerk hat die Administratoren der Man kann Hinweise geben, wie mit E-
Filter. Eine frühe Version dieses Filters Website vorsorglich informiert. Spam- Mails von unbekannten Absendern umzu-
hat die fraglichen E-Mails abgefangen, versender, Phishingmailsender und In- gehen ist.
erklärt Fritzsch. Im Text der Nachrichten ternetbetrüger werden offenbar immer Zum einen kann man hier ausgrenzen,
schien ein Ebay-Benutzer Fragen zu ei- geschickter. Nicht nur, dass die vermeintli- wenn man den Namen und Betreff nicht
nem angebotenen Artikel zu haben und chen Ebay-Mails immer echter aussehen, zuordnen kann.
stellte diese auf Englisch. auch versuchen die Urheber immer mehr, Kunden ist es ratsam zu empfehlen
Ein Blick in den Quellcode der HTML- ihre Spuren zu verwischen. Den wirklichen sich mit der integrierten WindowsXP SP2
E-Mail brachte rasche Erkenntnis. Der Hintermännern auf die Schliche zu kom- Firewall zu beschäftigen und diese auch
Link, den man anklicken sollte, führte nicht men, scheint aussichtslos. zu aktivieren.
etwa zu den Ebay-Seiten, sondern auf Es macht sich mehr und mehr das Infos dazu finden Sie auf der Security
sunpowercom.net, berichtet der Informati- Gefühl breit, dass teilweise organisiert Seite von Microsoft, siehe Kasten weitere
ker. Erstaunlich war die Qualität der Mails. krimineller Handel mit Passwörtern und Gefahren.
Sie waren auf den ersten Blick nicht als Zugangsdaten aus Shops und Banken Wer kein Microsoft Windows XP SP2
Fälschungen erkenntlich, berichtet er. Kein betrieben wird. (Service Pack 2) besitzt sollte sich über
Wunder – die Betrüger rufen in der E-Mail Somit ist es besonders in der heutigen eine Softwarefirewall oder auch Desktop-
Bilddateien von Ebay ab. So imitieren sie Zeit sehr wichtig geworden, besonnen mit firewall genannt Gedanken machen und
nahezu unbemerkt und in Echtzeit das De- dem Thema Sicherheit umzugehen. diese zum Einsatz kommen lassen.
sign des Auktionshauses. Auch der aufge- Sicherlich bieten Softwarefirewalls kei-
rufene Link war bis auf die Domain, auf die Sicherheitsansätze nen effektiven 100% Schutz, können aber
er zeigte, gut imitiert. Grundsätzlich ist es empfehlenswert, E- auf Verbindungen in das Internet achten
Wer darauf klickte, landete also auf Mails mit solchen Inhalten nicht zu öffnen und sind konfigurierbar.
dem Server sunpowercom.net und da-
mit in Korea, wie die WHOIS-Abfrage er-
brachte. Der zugehörige Adressbereich
Sichere CGI Programmierung
Sichere CGI Programmierung, eine Abhandlung von Martin-J. Muench:
wird ebenfalls in Korea, genauer gesagt
in Seoul, verwaltet. Mittlerweile ist die Phis- • http://www.brain-pro.de/Seiten/4.htm
hing-Seite, auf die der Antworten-Link führ- • http://www.codito.de
te, nicht mehr aktiv. Überhaupt scheint die
gesamte Website sunpowercom.net von
Fehlern und toten Links zu strotzen. Ob das
beabsichtigt ist, kann nicht gesagt werden.
XSS Hacks
Eine Ansammlung von Fehlern und Schwachstellen von Cross-Site Scripting finden Sie auf der
Interessanter ist auch der Verbreitungsweg Webseite http://ha.ckers.org/xss.html.
der Mail. Aus der Kopfzeile received wird der Weitere Quelle: http://observed.de
Server cpanel.cygnusnet.com ersichtlich.
Marko Rogge
Der Autor ist freier Journalist und hat bereits
diverse Publikationen für Printmedien abgeliefert.
Tätigkeitsschwerpunkte der Unternehmensberatung
sind die Bereiche IT-Grundschutz und IT-Security in
Unternehmen sowie die aktive Unterstützung bei der
Einführung von Unternehmensdatenschutz. Hierfür
stehen fachlich kompetente Partner zur Seite. Als
Moderator und Referent beteiligt sich Marko Rogge
aktiv an der effektiven Informationsverbreitung zur
Verbesserung von IT-Grundschutz und Zertifizierungen
in Unternehmen. Darüber hinaus engagiert er sich
in freien Projekten, die sich gegen die Internetzensur
richten.