Geheime Datenspionage

Die verbotenen Rechner der anderen...

Windows hört mit. Geheime Protokolle verraten alles über Sie. Doch Sie können sich wehren: Mit Know-how und einigen Tools machen Sie Ihren PC spionagesicher – und starten zum Gegenangriff.
Nichts ist geheim. Windows weiß, was Sie wann getan haben, und verrät es jedem, der es wissen will. Hat ein Mitlauscher erst die Informationskanäle Ihres PC's angezapft, muss er nur noch die richtigen Fragen stellen, damit Windows Ihre Daten preisgibt Der Benutzername gehört dabei noch zu den harmlosen Dingen. Schlimmer wird es bei gespeicherten Kontonummern, vertraulichen E-Mails und Ihrem Administrator-Passwort. Damit kann der Eindringling Ihren Rechner vollständig kontrollieren.
Um das zu verhindern, schlüpfen Sie am besten selbst in die Rolle des Datenspions. Denn sobald Sie wissen, wie Hacker und Trojaner arbeiten, können Sie die richtigen Gegenmaßnahmen einleiten und Ihren PC effektiv schützen.
Setzen Sie die Tool-Programme nie auf fremden Computern oder zum Angriff auf fremde Rechner ein!

Benutzernamen herausfinden

(Tools: Cmd.exe, PsTools). Möchte ein Spion unentdeckt Ihren PC infiltrieren, benötigt er einen gültigen Benutzernamen und das zugehörige Passwort. Um sie zu ergattern, schleicht er sich durch eine von Windows offengehaltene Hintertür ein.
Ein paar Kommandozeilen-Befehle genügen, um über ein verstecktes Administratorkonto auf Ihren PC zu gelangen. Hat sich der Spion erfolgreich eingeloggt, liest er mit gewöhnlichen Netzwerk-Administrationstools alle Benutzernamen aus. Schlüpfen Sie nun selbst in die Rolle des Eindringlings. Starten Sie die Eingabe-Aufforderung und geben Sie dort eine Netzwerk- oder Internetadresse nach dem Muster: ping www.rechnername.at ein.
Damit erhalten Sie die IP-Adresse ihres Angriffsziels. Mit dem „Ping-Befehl“ erfahren Sie nebenbei noch, ob der betreffende Rechner erreichbar ist. Wenn ja, können Sie versuchen, sich über ein verstecktes Admin-Konto Zugang zu verschaffen. Dazu geben Sie: net use \\IP-Adresse\ipc$ /user:administrator ein, wobei Sie die vorhin ermittelte IP-Adresse einsetzen. Erhalten Sie die Meldung: „Der Befehl wurde erfolgreich ausgeführt“, könnte das Ausspionieren klappen.
Als „Tatwerkzeug“ eignen sich die PsTools von Sysinternals, die sie im Internet frei downloaden können. Entpacken Sie den heruntergeladenen ZIP-Ordner und kopieren Sie daraus die Tools Psexec und psloggedon in den Ordner „Windows System32“.
Anschließend geben Sie in der Eingabeaufforderung das Kommando: „Psexec \\IP-Adresse“ und „administrator psloggedon\\IP-Adresse“ ein. Ist der Rechner nicht ausreichend geschützt, haben Sie nun die Namen aller Benutzer, die auf diesem PC eingeloggt sind.
So schützen Sie sich! Diese Vorgangsweise, nennt sich „Nullsession-Attacke“. Derartige Angriffe können über die Ports 137, 138, 139 und 445 ausgeführt werden.
Erste Schutzmaßnahme: Installieren Sie als XP-Benutzer unbedingt das Service-Pack 2. Die dort verbesserte Firewall verhindert Nullsession-Attacken zumindest dann, wenn jemand versucht, sich über das Internet bei Ihnen einzuloggen. Bei Rechnern in lokalen Netzwerken sollten Sie die betroffenen Ports mit einer Firewall schließen. Benötigen Sie einen oder mehrere davon unbedingt, so starten Sie den Registrierungs-Editor, und legen im Schlüssel: HKEY_LOCAL MACHINE \System\CurrentControlSet\Services\lanmanserver\parameters die beiden neuen DWord-Werte „AutoShareServer“ und „AutoShare Wks“ an. Weisen Sie den Einträgen jeweils den Wert „0“ zu und starten Sie den Rechner dann neu. Somit ist zumindest die administrative Freigabe deaktiviert, die wir bei unserem Angriff ausgenutzt haben.`

Windows verrät Ihre Passwörter

(Tool: WinHex). Der Benutzername ist natürlich nur die halbe Miete. Hat sich der Spion erfolgreich ins System geschlichen, wird er versuchen, die zugehörigen Passwörter zu ermitteln. Der einfachste Weg: Die Suchfunktion von Windows benutzen. Fahnden Sie damit nach Dateien mit den Endungen °.pwd, °.ped, °.psr, °.psx« und °.db«. Damit haben Sie die Endungen der bekanntesten Passwort-Schutztools, etwa Password Safe, abgegrast. Interessant sind natürlich Dateinamen wie „key“ und „secmod“. Öffnen Sie diese Dateien mit WinHex (zu finden im Internet). Sind sie verschlüsselt, geht nichts. Andernfalls sehen Sie die in diesen Dateien gespeicherten Passwörter vor sich.

WinHex kann noch mehr

Mit diesem Tool lässt sich auch die Auslagerungsdatei von Windows (pagefile.sys) durchforsten. Das geht allerdings nur mit einer zweiten Windows-Partition oder einem DOS-Kopiertool, denn der Windows-Dateischutz verhindert das Öffnen der Auslagerungsdatei. Wenn Sie den Rechner beispielsweise mit Vista booten, können Sie von dort die pagefile.sys einer vorhandenen XP-Partition in WinHex laden. Diese finden Sie im Stammverzeichnis der betreffenden Windows-Partition. Über „Suchen – Text suchen“ geben Sie nun Begriffe wie „Password“, „admin“ oder „Benutzer“ ein. Sie werden staunen, welche Geheimnisse die pagefile.sys ans Licht bringen kann: neben Windows-Passwörtern auch die Kennwörter für Webforen oder verschlüsselte PDF-Dokumente.
So schützen Sie sich! Viele Passwort-Schutztools erlauben das Verwenden individueller Datei-Endungen. Geben Sie eine an, die nicht so offensichtlich ist. Akzeptieren Sie beim Speichern des Datentresors nie das Standardverzeichnis. Denn Tools wie Al RoboForm und Password Safe sind auch in Hackerkreisen bestens bekannt. Vor dem Auslesen der pagefile.sys schützt ein Registry-Tweak: Starten Sie regedit und navigieren Sie zum Schlüssel „HKEY_LOCAL_MACHINE \ System\ CurrentControlSet \ Control\ SessionManager\ Memory Management“. Klicken Sie doppelt auf den Eintrag „ClearPageFileAtShutdown“ und weisen Sie den Wert „1“ zu. So wird die Auslagerungsdatei bei jedem Herunterfahren von Windows mit Nullen vollgeschrieben. Beim Öffnen mit WinHex werden keine sensiblen Daten sichtbar.

Fotos, Mails, Dokumente heimlich rekonstruieren

(Tools: ThumbsDbExtractor, Exif Reader). Windows ist sehr mitteilsam. Gespeicherte Dateien können jede Menge über ihren Besitzer erzählen. Manchmal entstehen Bilder, die nicht für neugierige Blicke anderer bestimmt sind. Jetzt stellen Sie sich vor, ein Außenstehender klaut die Datei „thumbs.db“ von Ihrem PC und rekonstruiert daraus ein kompromittierendes Bild. Wie so etwas funktionieren kann, haben wir in folgendem Szenario nachgestellt. Zunächst einmal benötigen wir eine thumbs.db von einem fremden Rechner. Wir lassen den Zufall entscheiden und geben bei Google den Suchbefehl „filetype:db thumbs“ ein. Wir finden immerhin mehr als 20.000 Websites. Meistens handelt es sich dabei um FTP-Server, welche uns die Datei anbietet. Nach ein paar langweiligen Treffern entscheiden wir uns für ein Webforum und laden von dort die „thumbs.db“ herunter. Anschließend öffnen wir diese mit dem ThumbsDbExtractor. Wir entdecken die Gesichter dreier junger Menschen. Einer von ihnen dürfte Albert heißen, das lesen wir aus der URL heraus. Wir gehen noch weiter, laden die Bilder in den Exif-Reader (gratis im Internet). Immerhin, sie waren so schlau und haben die von der Digicam stammenden Informationen nicht gespeichert oder nachträglich entfernt. Andernfalls wüssten wir nun auch, an welchem Tag sie von wem mit welchem Kameramodell fotografiert wurden.
So schützen Sie sich! Gegen Google hilft nur Internetabstinenz. Ansonsten rufen Sie die Suchfunktion von Windows auf und durchforsten alle Festplatten nach der Datei „thumbs.db“. Entfernen Sie alle gefundenen Files. Damit Windows sie nicht wieder neu anlegt, starten Sie den Windows-Explorer und aktivieren über „Extras – Ordneroptionen – Ansicht“ die Option „Miniaturansichten nicht zwischenspeichern“. Damit sind Sie sicher, müssen allerdings auf die Windows-Funktion „Bild- und Faxanzeige“ verzichten. Schutz hat eben seinen Preis.

Verräterische E-Mails

(Tools: Outlook, Outlook Express). Überlegen Sie sich gut, wem Sie eine E-Mail schicken. Denn die elektronische Post verrät mehr, als Ihnen lieb sein kann. Um geheime Informationen zu entdecken, braucht es nicht einmal ein spezielles Tool. Der gewohnte Mailclient reicht völlig aus. Dreh- und Angelpunkt dieser Spionage-Art ist der E-Mail-Header. Um ihn zu öffnen, klicken Sie in Outlook mit der rechten Maustaste auf die betreffende Mail und wählen „Optionen“. Im Feld „Internetkopfzeilen“ sehen Sie den Header. In Outlook Express wählen Sie „Eigenschaften – Details“. Welche Informationen der Header genau enthält, hängt von vielen Faktoren ab, beispielsweise vom verwendeten Mailclient. Wir konzentrieren uns auf gängige Faktoren, die der Identifikation und der Rückverfolgung dienen. Der ganz oben stehende „Return-Path“ bringt einem Spion wenig, weil er sich mit geringem Aufwand fälschen lässt. Die Wahrheit finden Sie hinter „Received“. Dort trägt der jeweils zuständige Mailserver einen Zustellvermerk ein. Der ganz oben stehende Received-Vermerk kommt demzufolge vom eigenen Mailserver beziehungsweise von einem Provider wie GMX. Im Umkehrschluss ist somit der letzte Received-Eintrag relevant, denn er gibt Aufschluss über den Rechner des Absenders. Ein Beispiel: Die letzte Received-Zeile im Header einer willkürlich ausgewählten Testmail lautet: „from 217.238.186.232 (helo= 192.168.178.20) by smtp08.web.de“.
Zunächst einmal möchten wir wissen, wer sich hinter den kryptischen IP-Adressen verbirgt. Dazu besuchen wir die Website http://samspade.org und tragen nacheinander die beiden IP-Adressen in die Suchzeile ein. Die erste gehört dem Rechner „DTAG-Dia117“, der sich im Besitz der Deutschen Telekom befindet. Bei der zweiten erhalten wir die Fehlermeldung „Error: IP Range Reserved by IANA.org“. (Internet Assigned Numbers Authority) Wir geben die zweite Adresse bei Google ein. Die Suchtreffer verraten, dass die IP-Adressen 192.168.178.20-200 für Router der Marke FritzBox reserviert sind. Weitere Headereinträge wie „From“ und „Date“ sind selbsterklärend.
Das Resümee aus unserer Beispielmail lautet nach der Headeranalyse: Der Absender verschickte seine Post am 19. April 2008 um 15:10 Uhr. Dazu verwendete er den Mailclient Mozilla Thunderbird 1.5.0.14, zu sehen unter „User-Agent“. Der Datenverkehr lief über den Telekom-Reseller www.web.de. Weil dieser Provider in seinen DSL-Verträgen Router vom Typ FritzBox. FonWLAN 7050 als Geschenk anbietet, und wir durch die IANA-Reservierung eine FritzBox identifiziert haben, gehen wir davon aus, dass der Absender ein solches Gerät benutzt. Er scheint Angst vor Mitlauschern zu haben: Darauf weist der Eintrag „TLSv1:AES256SHA256“ in der Zeile „Received“ hin. Die Mail wurde von Thunderbird verschlüsselt und wahrscheinlich über das TOR-Netzwerk verschickt, bevor der Provider Web.de sie in die Finger bekam und weiterleitete.
So schützen Sie sich! Dienste wie „Secure Anonymous E-Mail“, zu finden unter www.anonymousspeech.com, tun ihr Bestes – doch eine hundertprozentige Anonymisierung des Mailverkehrs ist nicht möglich. Mehr Infos und eine Erklärung anhand des Anonymisierers Cypherpunk finden Sie unter www.iksjena.de/mitarb/lutztanon/remailer.essay. html.

MS Office ermöglicht Spitzeleien

(Tool: Notepad). Reichlich Stoff für Spitzel bieten Office-Dokumente. Sie enthalten versteckte Infos die unter anderem Benutzernamen, Dateipfade und Geschäftsgeheimnisse verraten. Schlüpfen Sie noch einmal in die Rolle des Hackers, um zu sehen, wie einfach sich solche Infos auslesen lassen: Erhalten Sie ein Word-Dokument per Mail, klicken Sie es mit der rechten Maustaste an. Über „Eigenschaften – Dateiinfo – Erweitert“ sehen Sie, welche Word-Version und welche Dateivorlage verwendet wurden und in welcher Firma der Verfasser arbeitet. Besonders pikant: Der Name hinter „Autor“ ist häufig auch der Log-in-Name für das Firmennetzwerk. Damit fehlt für einen Einbruch nur noch das Passwort.
Word verrät noch mehr, wenn Sie das Dokument mit Notepad öffnen. Im jetzt angezeigten Zeichensalat versteckt sich der komplette Speicherpfad für das Dokument sowie die darin benutzten Schriftarten. Und es lässt sich noch mehr ausspionieren: Beim Öffnen eines Word-Dokuments mit WinHex stießen wir auf einen Weblink. Dieser wurde aber nie in das Word-Dokument geschrieben. Nach einigem Suchen fanden wir heraus: Firefox hat die Internetadresse in die Zwischenablage gespeichert, während Word im Hintergrund lief. Bei der eingestellten Schnellspeicherung sicherte die Textverarbeitung nicht nur das gerade geöffnete Dokument, sondern auch den Inhalt der Zwischenablage mit. Hätte dort zufällig ein Passwort gelegen, befände es sich nun in der Hand des Hackers! Das kann theoretisch passieren, wenn ein Tool wie Al RoboForm das Kennwort kurzzeitig in die Zwischenablage entpackt, um den Anwender automatisch in einem Webforum anzumelden. Prinzipiell kann das Word-Dokument alles enthalten, was Sie per Copy and Paste in die Zwischenablage übertragen.
So schützen Sie sich! Laden Sie von der Microsoft-Website das RHD-Tool herunter. Dabei handelt es sich um ein Add-on für Office 2002/2003, das automatisch sensible Informationen aus den Dokumenten entfernt. Besitzern anderer Office-Versionen empfehlen wir das Umwandeln der Dokumente ins PDF-Format – zum Beispiel mit FreePDF. Kommt das nicht in Frage, sollten Sie Office-Dokumente ausschließlich an Personen weitergeben, denen Sie vertrauen.

Cookies: Diebstahl ist möglich

(Tool: PageSpy). Wie gefährlich sind eigentlich Cookies? Ständig wird doch im Internet und in PC-Zeitschriften empfohlen, diese von Websites verschickten Textdateien regelmäßig zu löschen. Um ein Cookie zu durchleuchten, müssen Sie erst mal eines haben. Ein wirklich böser Spion würde schädlichen Java-Script- Code in einen beliebigen Webserver einschleusen und einfach die Cookies abgreifen, die dieser Server an seine Besucher verschickt. Im Fachjargon wird das als „Cross-Site-Scripting-Attacke“ bezeichnet. Wir möchten auf legalen Pfaden bleiben, deshalb verwenden wir ersatzweise PageSpy, zu finden unter http://www.sembelnet. Dieses Tool arbeitet allerdings nur mit dem Internet Explorer zusammen. Installieren Sie PageSpy und öffnen Sie dann mit dem Microsoft-Browser eine Website Ihrer Wahl. Wir empfehlen ein Forum, bei dem Sie Benutzernamen und Passwort angeben müssen. Schließlich möchten Sie wissen, ob ein Angreifer diese Daten aus dem gestohlenen Cookie auslesen könnte.
Melden Sie sich wie gewohnt im gewählten Webforum an. Bietet es die Option „Angemeldet bleiben“, sollten Sie diese aktivieren. Sie erhalten dann ein Cookie, das die automatische Anmeldung im Forum über einen bestimmten Zeitraum ermöglicht. Um das Cookie auszulesen, klicken Sie mit der rechten Maustaste auf die Website. Im Kontextmenü des Browsers finden Sie den neuen Befehl „PageSpy“; damit starten Sie das Spionagetool. Danach wechseln Sie auf der PageSpy-Oberfläche ins Register „Cookies“. Dort sehen Sie alle von der Website zugeschickten Dateien. Klicken Sie nun das erste angezeigte Cookie an. Sehen Sie im Fenster darunter hinter „Value“ Ihren Benutzernamen und das Passwort, sollten Sie diese Seite besser nicht mehr besuchen. In den meisten Fällen werden Sie hier aber nur kryptische Zahlen sehen, sogenannte MD5-Hashes. Ein damit geschützter Text lässt sich zwar mit Tools wie RainbowCrack zurückverwandeln, das Verfahren ist aber aufwendig und rechenintensiv. Privatpersonen werden deshalb fast nie auf diese Weise ausspioniert. Was der Cookiedieb jedoch in jedem Fall erfährt, ist die Adresse der besuchten Website (domain), an welchem Tag und zu welcher Uhrzeit Sie die Seite besucht haben (modified date), ob das Cookie sicher ist (secure) und wie lange es noch gültig ist (expires).
So schützen Sie sich! Prüfen Sie bei jedem Forum, in dem Sie Mitglied sind, ob der Eintrag hinter „value“ verschlüsselt wird. Wenn nicht, verzichten Sie auf eine Mitgliedschaft. Gegen Cross-Site-Scripting schützen Sie sich, indem Sie Ihrem Browser das Ausführen von Java-Script verbieten. Im Internet Explorer 7 geht das über „Extras – Internetoptionen – Sicherheit – Stufe anpassen – Scripting von Java-Applets – Deaktivieren“.

Aushorchen: Windows-Prozesse

(Tool: Process Explorer). Alarm! Ein Maulwurf hat sich eingeschlichen. Klammheimlich sendet er Informationen nach draußen. Aber an wen? Und wie? Durch einen Portscan entdecken Sie verräterische Prozesse und offene Kanäle.
Spielen wir zur Abwechslung mal „guter Spion“ – letztlich geht es ja um das Absichern des eigenen PC's. Per Eingabeaufforderung und Taskmanager erfahren Sie, ob Fremde in Ihren PC eindringen können und welche Prozesse heimlich Daten ins Web übertragen. Führen Sie zuerst einen Portscan durch, um offene Hintertürchen zu finden. Hierzu starten Sie die Eingabeaufforderung und geben dort den Befehl: netstat-ano ein. Sie erhalten eine Auflistung aller gerade aktiven Netzwerkverbindungen. Sehen Sie unter “Status“ den Vermerk „Abhören“, ist der betreffende Port offen. Über ihn kann Ihr PC ausgehorcht werden. Haben Sie offene Ports, stehen die Chancen gut, einen Maulwurf auf frischer Tat zu ertappen. Schauen Sie sich die Spalte „Remoteadresse“ an. Steht dort „0.0.0.0:0“, werden im Moment keine Daten über diesen Port übertragen. Der Maulwurf schweigt. Interessant wird es erst, wenn Sie eine richtige IP-Adresse finden. Ist das der Fall, prüfen Sie mit Hilfe der angezeigten Prozess-ID, welches Programm gerade Daten sendet. Hierzu öffnen Sie mit StrgAlt+Entf den Taskmanager und wählen dort „Ansicht – Spalten auswählen“. Aktivieren Sie „PID (Prozess-ID)“ und bestätigen Sie mit „OK“. Prüfen Sie nun im Register „Prozesse“, zu welchem Programm die mit netstat ermittelte PID gehört. Ein Beispiel: Zeigt netstat eine offene Verbindung mit der PID 2904, finden Sie die gleiche Nummer im Taskmanager. Bei unserem Test gehörte sie zum Windows-Dienst „alg.exe“. Schwieriger wird es bei Sammelprozessen (svchost.exe). Um herauszufinden, wer hier am Werk ist, benötigen Sie den Process Explorer von Sysinternals, zu finden unter:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx.
Auch bei diesem Tool identifizieren Sie den mutmaßlichen Spion mittels der Prozess-ID.
So schützen Sie sich! Unter „Lokale Adresse“ sehen Sie mit netstat, über welchen Port ein Programm Daten verschickt. Steht etwa die IP-Adresse 127.0.0.1:1031, müssen Sie den Port 1031 von der Firewall blockieren lassen, um den Maulwurf zu stoppen.
R.W.
Quellen: http://www.chip.de/
http://www.pcwelt.de/; http://pc-magazin.magnus.de/