Die Tricks der Hacker

Die Tricks der Hacker

von - 06.07.2012
Die folgenden Abschnitte beschreiben zehn Methoden, mit denen ein Angreifer ohne großen Aufwand Ihre Daten manipulieren und kopieren kann. Die meisten basieren auf Live-CDs, aber auch mit manipulierten USB-Sticks ist es möglich, Daten zu klauen.

Daten klauen mit Live-CD

Ubuntu als Hacker-Tool: Mehr als eine Live-CD mit Ubuntu braucht man nicht, um Daten von Ihrem PC zu klauen. Hier greift Ubuntu auf die Festplatte „C:“ zu.
Ubuntu als Hacker-Tool: Mehr als eine Live-CD mit Ubuntu braucht man nicht, um Daten von Ihrem PC zu klauen. Hier greift Ubuntu auf die Festplatte „C:“ zu.
Schon eine Live-CD mit Ubuntu genügt, um sich den vollen Zugriff auf sämtliche Daten auf Ihrem PC zu verschaffen. Alle aktuellen Linux-Systeme können auf das Dateisystem von Windows zugreifen, wenn man den PC von einer Live-CD startet. Das Einbinden der Festplatte heißt Mounten. Auch Ubuntu erledigt dies problemlos.
Von einer gemounteten Festplatte lassen sich dann alle interessanten Daten problemlos auf einen USB-Stick kopieren. Der Besitzer des PCs merkt davon später nichts. Außerdem ist es sogar möglich, mit Hilfe einer Live-CD einen Virus einzuschleusen, der den Benutzer in Zukunft ausspioniert.

1:1-Kopie der ganzen Festplatte

OSF Clone kopiert den Festplatteninhalt eines PCs eins zu eins auf ein externes Laufwerk. Eine Methode, die selbst von Behörden zur Analyse eines beschlagnahmten Computers verwendet wird, eignet sich auch für Datenspione: Der PC wird von einer CD gebootet, die alle benötigten Werkzeuge mitbringt, um eine 1:1-Kopie der Festplatte zu erstellen und diese auf ein mitgebrachtes externes Medium zu übertragen. Diese Kopie wird später in aller Ruhe auf einem anderen PC gemountet oder in einer virtuellen Maschine gestartet.
Prinzipiell lässt sich eine exakte Kopie einer Festplatte mit jeder Linux-Live-CD anfertigen, die den Kommandozeilenbefehl „dd“ mitbringt. „dd“ steht für „disk dump“ und ist ein mächtiges Tool, das die komplette Festplatte inklusive Partitionstabelle und Master Boot Record (MBR) kopiert.
OSF Clone 1.0: Das bootfähige Live-System erstellt mit dem Linux-Befehl „dd“ eine 1:1-Kopie jeder beliebigen Festplatte.
OSF Clone 1.0: Das bootfähige Live-System erstellt mit dem Linux-Befehl „dd“ eine 1:1-Kopie jeder beliebigen Festplatte.
Einfacher geht es mit einer speziellen Linux-Distribution wie OSF Clone. Die textbasierte Live-CD erkennt alle Festplatten inklusive einer angeschlossenen externen Platte automatisch und erstellt anschließend mit dem Tool „dd“ eine exakte Kopie.
Schutz: Die Verschlüsselung sensibler Daten oder besser gleich der gesamten Festplatte lässt diesen Angriff ins Leere laufen, weil sich auch mit einer 1:1-Kopie verschlüsselter Daten nichts anfangen lässt. BIOS-Passwörter schützen prinzipiell, können aber nicht verhindern, dass die Festplatte ausgebaut und anderweitig kopiert wird.

Seriennummern-Dieb

Manche USB-Sticks klauen Seriennummern und Dokumente. Ein Angreifer kann seinen USB-Stick mit dem Tool USB Switchblade so manipulieren, dass der Stick an einem fremden Computer nach Seriennummern sucht und Dateien klaut.
In der Regel muss der Angreifer den PC-Besitzer aber dazu bringen, ein verseuchtes Programm auf dem Stick, zum Beispiel einen Bildbetrachter, zu starten. Während dieses Programm dann im Vordergrund seine scheinbar harmlose Aufgabe erfüllt, saugt es im Hintergrund den PC ab.
Schutz: Gegen Tools wie USB Switchblade hilft Verschlüsselung nur dann, wenn ein Container zum Zeitpunkt der Attacke nicht gerade geöffnet ist. Eine Verschlüsselung der kompletten Festplatte oder ein BIOS-Passwort schützen hier ebenfalls nicht. Einzig ein Virenscanner mit einem guten Verhaltenswächter hat eine Chance, den Angriff zu erkennen und zu stoppen.
Übrigens ist es ein Irrtum, dass Programme auf dem Stick automatisch starten. In Vista und Windows 7 hat Microsoft diese Sicherheitslücke von vornherein geschlossen. Auch ein gepatchtes Windows XP hat diese Lücke nicht mehr.
Wenn also jemand ein Tool von seinem Stick auf Ihrem PC ausführen will, dann lassen Sie das besser nicht zu. 

Tastaturspione

Hardware-Keylogger: So ein Tastaturspion fällt kaum auf.
Hardware-Keylogger: So ein Tastaturspion fällt kaum auf.
Keylogger zeichnen alles auf, was Sie eintippen, und filtern Passwörter aus. An einen Keylogger, der alle Tastatureingaben mitschneidet, ist erstaunlich leicht heranzukommen. Im Internet ist zum Beispiel das Tool Refog Keylogger problemlos zu finden. Alternativ kann der Angreifer auch einen Hardware-Keylogger zwischen Tastatur und PC einstöpseln. Diese unauffälligen kleinen Spione lassen sich in einem unbeobachteten Moment schnell auf der Rückseite des Rechners anbringen und werden dort oft lange Zeit nicht entdeckt. Der Artikel „Keylogger“ aus dem com! Magazin 10/2011 beschreibt die Tastaturspione ausführlich.
Schutz: Sowohl eine Verschlüsselung als auch BIOS-Passwörter schützen natürlich nicht vor Keyloggern. Selbst ein Virenscanner mit einem guten Verhaltenswächter schützt nur vor Softwarespionen, aber nicht vor den Hardware-Varianten. Die müssen Sie selbst entdecken. 

Am Passwort vorbei booten

Am Passwort vorbei booten: Die Hacker-CD Kon-Boot startet Windows ohne Passwortabfrage.
Am Passwort vorbei booten: Die Hacker-CD Kon-Boot startet Windows ohne Passwortabfrage.
Kon-Boot manipuliert Windows beim Start und schaltet die Passwortabfrage aus. Der Anmeldedialog von Windows soll verhindern, dass sich unberechtigte Nutzer an einem PC zu schaffen machen. Dieser Schutz lässt sich jedoch leicht aushebeln, indem jemand den Rechner von einer Live-CD mit Kon-Boot startet.
Kon-Boot ist ein bootfähiges Linux-System, das den Windows-Kernel manipuliert, so dass Windows ohne Passwortabfrage bootet. Anschließend nutzt der Angreifer den PC inklusive Admin-Rechten. Kon-Boot funktionierte mit mehreren Windows-Versionen, führte bei der 64-Bit-Variante von Windows 7 jedoch zu Abstürzen. Es gibt aber eine Kaufversion von Kon-Boot, die dieses Problem nicht haben soll. 

Standardnutzer zum Admin machen

Neuer Admin: Das Tool Offline Windows Password & Registry Editor gibt jedem Standardbenutzer unter Windows Admin-Rechte.
Neuer Admin: Das Tool Offline Windows Password & Registry Editor gibt jedem Standardbenutzer unter Windows Admin-Rechte.
Das Tool Offline Windows Password & Registry Editor macht einen Benutzer-Account mit eingeschränkten Rechten zum Admin. Es ist auch möglich, einen Benutzer-Account mit eingeschränkten auf Ihrem PC heimlich mit Admin-Rechten auszustatten.
Dazu muss der Angreifer Ihren PC nur von einer Live-CD mit Offline Windows Password & Registry Editor starten. Dieses kleine Linux-System macht aus einem eingeschränkten Benutzer-Account einen Admin-Zugang mit allen Rechten. So kann der Benutzer anschließend zum Beispiel neue Programme installieren, Systemeinstellungen verändern oder Dateien löschen. Die Benutzer-Manipulation funktionierte bei Tests sowohl unter XP als auch mit Windows 7. 

Passwörter manipulieren

Offline Windows Password & Registry Editor: Die Software sieht kompliziert aus, ist aber einfach zu bedienen. Hier wurde das Passwort des Benutzers Tante Frieda in „1234“ geändert.
Offline Windows Password & Registry Editor: Die Software sieht kompliziert aus, ist aber einfach zu bedienen. Hier wurde das Passwort des Benutzers Tante Frieda in „1234“ geändert.
Offline Windows Passwort & Registry Editor kann noch mehr: Das Tool ändert oder löscht jedes Benutzerpasswort. Offline Windows Password & Registry Editor hat noch eine weitere Funktion, die das Tool für Hacker interessant macht: Das Live-System ändert oder löscht auch das Passwort zu jedem Benutzer-Account.
Anders als bei den bisher gezeigten Hacker-Tricks fällt diese Manipulation beim nächsten Login allerdings sofort auf, da Sie sich plötzlich nicht mehr anmelden können. Sie kennen das neue Passwort ja nicht.

Passwort knacken

Ophcrack knackt problemlos so gut wie jedes Windows-Passwort. Unter Windows ist die Sicherheitskontenverwaltung für die Anmeldung eines Benutzers an seinem PC zuständig. Auf Englisch heißt dieser Dienst Security Accounts Manager oder abgekürzt SAM.
Die Sicherheitskontenverwaltung speichert die Login-Daten und das Passwort in einer SAM-Datenbank. Zum Schutz dieser Datenbank verwendet Microsoft einen leicht zu knackenden LM-Hash. Bei einem LM-Hash wird jedes Passwort, das länger als sieben Zeichen ist, in zwei Teile geteilt, die separat verschlüsselt und so auch separat geknackt werden können.
Passwort knacken: Die Ophcrack-Live-CD knackt mühelos Windows-Passwörter.
Passwort knacken: Die Ophcrack-Live-CD knackt mühelos Windows-Passwörter.
Außerdem wandelt Windows bei einem LM-Hash jedes Passwort in Großbuchstaben um, was die Entschlüsselung weiter vereinfacht. Hat ein Hacker-Tool wie Ophcrack das richtige Passwort herausgefunden, erfordert es nur noch wenig Aufwand, alle Varianten mit Groß- und Kleinschreibung auszuprobieren.
Schutz: Das Microsoft-Tool Syskey verschlüsselt die SAM-Datenbank. Als Benutzer müssen Sie dann beim Starten des Computers ein zusätzliches Passwort eingeben. Der Artikel „PC richtig abschließen“ aus dem com! Magazin 2/2011 beschreibt die Installation und Konfiguration von Syskey ausführlich.
Wenn Sie sich kein zweites Kennwort merken wollen, haben Sie noch die Möglichkeit, ein Passwort mit mindestens 15 Zeichen Länge zu nehmen. Alle Windows-Versionen seit NT codieren es dann nämlich nicht mehr mit einem LM-Hash, sondern mit dem verbesserten Nachfolger NTLMv2. 

Heimlicher Zugriff übers Netz

Zugriff übers Netz: Windows-Rechner geben ihre Festplatte im lokalen Netzwerk frei. Es genügt, \COMPUTERNAME\c$ einzugeben, um auf die Festplatte des PCs „COMPUTERNAME“ zuzugreifen.
Zugriff übers Netz: Windows-Rechner geben ihre Festplatte im lokalen Netzwerk frei. Es genügt, \COMPUTERNAME\c$ einzugeben, um auf die Festplatte des PCs „COMPUTERNAME“ zuzugreifen.
Im lokalen Netz ist die Festplatte mancher Rechner ungeschützt. Auch über das Netzwerk ist es unter Umständen möglich, heimlich auf die Festplatte eines Computers zuzugreifen. Der Angreifer muss dazu zunächst den „Computernamen“ eines Rechners kennen, um sich einzuschleichen.
Dann genügt oft schon die Eingabe von \\COMPUTERNAME\c$ in der Adressleiste des Windows-Explorers, um Zugriff auf die Partition „C:“ des Rechners „Computername“ zu erhalten. Diese versteckte Funktion wird von Microsoft „administrative Freigabe“ genannt und soll dazu dienen, dass ein Firmenadministrator aus der Ferne auf die Computer eines Unternehmens zugreifen kann. Privatanwender benötigen administrative Freigaben jedoch in der Regel nicht und sollten sie vorsichtshalber abschalten.
Schutz: So deaktivieren Sie den Fernzugriff. Öffnen Sie den Registrierungs-Editor mit [Windows R] und dem Befehl regedit. Wechseln Sie dann zum Schlüssel „HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\services \LanmanServer\Parameters“. Wählen Sie „Bearbeiten, Neu, DWORD-Wert“ aus und geben den Parameter AutoShareWks ein. Starten Sie anschließend den PC neu, um die Änderung zu aktivieren.

USB-Sticks absaugen

Wie ein Staubsauger klaut ein auf einem fremden PC verstecktes Tool alle auf Ihrem USB-Stick vorhandenen Daten. Die bisher beschriebenen Hacker-Tricks hatten Ihren PC zum Ziel. Der folgende Trick versucht dagegen, Daten von Ihrem USB-Stick zu klauen.
Das Tool USB Dumper wartet auf einem fremden Computer auf Ihren USB-Stick. Wenn Sie ihn anschließen, um zum Beispiel ein paar Urlaubsfotos zu zeigen, dann kopiert das Tool sämtliche auf dem Stick vorhandenen Dateien heimlich in einen Ordner auf der lokalen Festplatte. Sie merken nichts davon. Der PC-Besitzer kann die abgesaugten Daten dann später seelenruhig durchstöbern.
Schutz: Der beste Schutz gegen den Diebstahl vertraulicher Daten von Ihrem Stick ist ein mit Truecrypt verschlüsselter Container auf dem Stick. Der Dieb kann zwar den Container klauen, doch ohne das richtige Passwort nützt ihm dies nichts.

Fazit

Wie der Artikel gezeigt hat, ist es für einen Fremden ein Leichtes, sich Zugang zu den auf Ihrem Computer gespeicherten Daten zu verschaffen. Mehr als eine Live-CD mit Ubuntu und etwas Zeit benötigt er dazu nicht. Ohne Schwierigkeiten lässt sich auch eine 1:1-Kopie der kompletten Festplatte erstellen und später in aller Ruhe auswerten.
Das Windows-Passwort ist kein echter Schutz für Ihren PC. Mit einer spezialisierten Live-CD wie Kon-Boot ist es sogar möglich, an der Benutzeranmeldung vorbei zu booten und direkt in Ihrem Windows-System mit Ihren Lieblingsprogrammen und Ihren Einstellungen zu arbeiten.
Auch das Einrichten eines eingeschränkten Benutzerkontos für Gäste lässt sich vergleichsweise leicht austricksen. Eine Live-CD manipuliert das Benutzerkonto und stattet es im Handumdrehen mit Admin-Rechten aus. So eine Änderung fällt meist lange Zeit nicht auf, weil kaum jemand regelmäßig alle Benutzerkonten prüft.
Den besten Schutz für Ihre Dateien bietet Truecrypt. Das kostenlose Open-Source-Programm erstellt verschlüsselte Container, die Ihre Daten aufnehmen. Wer ganz auf Nummer sicher gehen will, kann mit Truecrypt sogar die komplette Festplatte verschlüsseln. Das hat den Vorteil, dass auch andere Dateien und zum Beispiel in Thunderbird gespeicherte E-Mails sicher sind, die in der Regel nicht in einem Container liegen.
Andererseits haben Sie bei einem PC-Problem dann selbst keine Möglichkeit mehr, Ihren PC mit einer Live-CD zu starten und Ihre Daten zu retten. Ein Truecrypt-Container lässt sich dagegen leicht auf ein externes Medium sichern. Wer will, kann seinen PC zusätzlich mit einem BIOS-Passwort schützen. Diese Maßnahme verhindert heutzutage zuverlässig, dass jemand Ihren Computer unbefugt startet.
Verwandte Themen