Hey FreddyK,
ok, ich werde jetzt etwas näher auf mein erstes posting eingehen.
Ich selbst arbeite auch schon länger als netzwerktechniker und administriere in mehreren firmen, jedoch nicht wie du als selbstständiger.
Klar, du hast recht in dem was du sagst, der allerbeste schutz gegen unerlaubte zugriffe (wie auch immer) ist und bleibt eine
kombination aus einer firewall,einem antitrojaner und antivirus software...
Und genau das ist der springende punkt, der hacker weiss das natürlich auch und versucht natürlich dies alles zu umgehen.
Dazu möchte ich ein kleines beispiel bringen, vor einigen monaten hatte es ein hacker geschafft in einer unserer firmen einzubrechen und ein passwort von einem aussendienstmitarbeiter zu stehlen (der hatte seine daten, mit seinem laptop von überall in der welt auf den server übertragen). Und das obwohl der server mit den besten mitteln geschützt war. Der hacker klaute jede menge zeichnungen und andere streng vertrauliche daten. Ein paar tage später meldete sich der hacker wieder (per anonymen email), teilte dem chef der firma mit, das er eine bestimmte geldsumme wolle oder er übergibt die daten der konkurrenz bzw. er veröffentlicht sie im internet. Natürlich standen meine arbeitskollegen und ich erstmal ganz schön blöd da (weil wir ja für den schutz des systems verantwortlich waren), kannste dir ja bestimmt denken. Polizei wurde vorerst keine eingeschaltet, der chef der firma wollte das nicht (wegen dem ruf der firma etc.).Mein erster eindruck von der ganzen sache war natürlich das es ein mitarbeiter der firma war(wie so oft,wahrscheinlich in 99% aller dieser fälle)... falsch! Nach dem kompletten sperren des netzwerkes und dem tage und nächtelangen suchen fand ich in einer logdatei eine kleine seltsame fehlermeldung von einem programm das in dem kompletten netz nicht (mehr) vorhanden war. Somit habe ich dieses programm mit hilfe von wiederherstellungssoftware (lost´n´found) wiederhergestellt. Und siehe da, nachdem ich dieses kleine proggy dann zu einem kumpel (ein sehr guter programmierer und ehemaliger cracker) gebracht hatte, stellte sich folgendes heraus. Es war eine art trojaner, der aber kein richtiger trojaner war und auch eigentlich nicht viel mit den bisher bekannten trojanern gemeinsam hatte. Irgendwie hat er mich eher an den "i love you" virus erinnert, da er ein paar ähnliche eigenschaften hatte, nur besser und unauffälliger. Diese programm ist nachgewiesenermassen so in die firma gekommen. Der hacker hat den emailverkehr überwacht, hat dann ein mail abgefangen das einen dateianhang hatte (eine präsentation von einer schwesterfirma), nun hatte er den dateianhang mit seinem kleinen spionageprogramm verbunden). Somit ist das programm unerkannt durch die firewalls und alle anderen sachen durch. Der arbeiter dachte sich nichts böses und öffnete die präsentation und somit das spionageprogramm. Nun hatte es freien lauf und suchte sich alle
(auch verschlüsselten) passworte und sonstige systeminformationen, schickte diese an den hacker per email zurück, völlig unbemerkt. Und jetzt der hammer, als das email erfolgreich versendet wurde, hat das spionageprogramm eintragungen in logdateien usw. und dann sich selbst gelöscht. Jedoch hatte programmierer einen kleinen fehler gemacht, er ging davon aus das die standard log´s auch in den standard verzeichnissen liegen. Dies ändern wir aber aus sicherheitsgründen in jedem system das wir administrieren. Dadurch gab es eine fehlermeldung da die datei nicht geöffnet werden konnte, diese wurde wiederum in einer anderen logdatei eingetragen und dann wie weiter oben beschrieben, gefunden! Erst dann wurde die kripo eingeschaltet. Die haben dann u.a. die firma überprüft von der die werbepräsentation geschickt wurde. Eins ist auf jeden fall sicher, die präsentation hat die firma OHNE dieses (fast) perfekte spionageprogramm verlassen!
Die methode wie der hacker das programm eingeschleust hat ist ja eigentlich albekannt und simpel, aber die perfektion und die tarnung der programmierung hatte mich und alle anderen die das gesehen hatten fast umgehauen.
So FreddyK. , denk nochmal die sache kurz durch, denk auch mal daran was ein böser-hacker noch alles anstellen wenn er kreativ genug ist und sehr gute programmierkenntnisse hat...
Deshalb sollte ein administrator sich nicht nur auf die firewall usw. fixieren sonderen auch auf andere dinge achten, besonders auf die logdateien...
Du kannst mir ja mal deine email-addy oder ICQ-# posten, vielleicht können wir ja noch ein paar erfahrungen austauschen. Für sonstige fragen bin ich jederzeit verfügbar.
Ich hoffe du verstehst es das ich nicht allzutief auf die sache eingegangen bin, da ich hier keine anleitung liefern wollte. Ich werde auch niemandem(!!!) eine kopie des schnüffelprogramms senden!
[pArAnOiD] again.....
[pArAnOiD] (Anonym)
FreddyK.
