Heimliche Hintertüren

Die meisten Cracker verschleiern ihre Aktivitäten mit Hilfe so genannter Rootkits. Um Eindringlinge trotzdem aufzuspüren und und den Server wieder zu säubern, müssen auch Adminstratoren wissen, womit sie es da zu tun haben.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 18 Min.
Von
Inhaltsverzeichnis

Ein Einbruch in ein Computersystem verläuft typischerweise in drei Stufen ab: Zunächst analysiert der Angreifer sein Ziel und versucht, Schwachstellen zu identifizieren. Dann erfolgt der eigentliche Einbruch mit Hilfe eines passenden Exploits -- einem Programm oder Skript, das einen Programmfehler oder eine Fehlkonfiguration ausnutzt und dem Einbrecher Zugang zum System verschafft. Unter Umständen muss er sich über eine weitere, lokale Schwachstelle dann noch Administratorrechte verschaffen. Im letzten Schritt verwischt er die Spuren und richtet sich einen permanenten Zugang zum System ein.

Prinzipiell könnte der Cracker natürlich immer wieder dieselbe Lücke benutzen. Doch zum einen hinterlassen die meisten Exploits auffällige Spuren in Log-Dateien, die jedesmal mühselig zu tilgen wären. Zum anderen muss der Cracker damit rechnen, dass der rechtmäßige Administrator das Loch irgendwann schließt und ihn damit aussperrt. Da die meisten Einbrüche über Standard-Exploits erfolgen, die auch anderen bekannt sind, hätte der Cracker den Rechner auch sicher nicht lange für sich allein. Im für ihn schlimmsten Fall wirft ihn sogar ein Konkurrent wieder aus dem System. Um das zu vermeiden, schließen sogar manche Einbrecher die ihnen bekannten Sicherheitslöcher des einmal eroberten Systems.

Ein Rootkit zu installieren, ist das Mittel, um eine private Hintertür einzurichten. Außerdem verbirgt es auch gleich deren Existenz und die Aktivitäten des Einbrechers vor dem rechtmäßigen Eigentümer. In vielen Fällen enthalten die Rootkits auch gleich Netzwerk-Sniffer und Tastatur-Logger, um Passwörter auszuspähen sowie Tools um andere Systeme zu scannen und anzugreifen.

Während unter Unix und Linux schon seit Jahren leistungsfähige Rootkits bekannt sind, waren ähnliche Programme für Windows bis vor kurzem eher einfach gestrickt und leicht aufzuspüren. So kommt es, dass bis heute viele Systemverantwortliche Windows-Rootkits als minder gefährlich ansehen -- obwohl der Sicherheitsexperte Greg Hoglund bereits 1999 auf deren Potenzial hingewiesen hat [2].