Hackers Black Book

1. JavaScript-Passwortschutzsysteme
2. HTACCESS-Passwortschutzsysteme
3. Schwache Passwrter
4. Direktes Hacken der Passwort-Datei
5. Die Admin-Tools
6. Phreaken
7. Login-Name Checker
8. Login-Generator nicht sicher
9. Bilder nicht in gechtzten Verzeichnissen
10. Packet Sniffing
11. Trojanische Pferde - NetBus und Back Orifice
(Ausspionieren fremder Festplatten)
12. Tip des Autors
13. Rechtliche Aspekte
14. Das Berufsbild des Hackers
15. Anonymes Arbeiten
16. Meine Arbeitsumgebung
17. Anonym Surfen
18. Achtung beim Download
19. DoS-Attacken
20. Wichtige Links
21. Hacker Glossar
22. Kostenlos Surfen



1. JavaScript-Passwortschutzsysteme

Die einfachste Art von Passwortschutzsystemen ist der sogenannte Javascript-Schutz. Dabei 
wird der Benutzer beim Betreten einer Seite oder beim Anklicken eines bestimmten Linkz 
dazu aufgefordert ein Passwort einzugegen. Diese Art von Schutz ist sehr einfach und 
bietet nur ein Minimum an Schutz.

Beim Betrachten des HTML-Quellcodes der Seite findet sich dann oftmals ein Javascript-Code
hnlich dem folgenden:





Wie man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine 
angegebene URL gesprungen. Nun sieht man, wie das Passwort zu heien hat und kann 
es einfach eingeben oder direkt dei Ziel-URL whlen.

Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise 
knnte die geheime Ziel-URL http://members.protectedserver.com/members/hu8621s.html, 
das Passwort "hu8621s" wrde als Teil der URL kodiert. Die entsprechende Schutz-Funktion 
im HTML-Code der Seite she dann folgendermaen aus:


functton jprot() {

pass--prompt ("Enter your password", "password");
document.location.href="http://members.protectedserver.com/mernbers/"+pass+".html";

}

Hier besteht mehr Schutz als in der ersten Variante allerdings sind die Verzeichnisse 
mittels des HTTP-Servers oft nicht gegen unerlaubtes listen des Verzeichnisses geschtzt. 
Whlt man mittels des Browsers die URL http://members.protectedserver.com/members/ 
direkt in den Browser,  so erhlt man oftmals eine Autlistung aller HTML-Seiten in 
diesem Verzeichnis, also auch die Seite die ber den Javascript-Passwortschutz 
angesprungen wird.





2. HTACCESS-Passwortschutzsysteme

Fast alle heute eingesctzten Webserver beherrschen den sogenannten HTACCESS-Passwortschutz.
Zuerst wurde er Apache-Webserver eingesetzt, mittlerweile sind jedoch viele andere 
Webserver zum HTACCESS-Standard kompatibel. Daher wird er auch sehr hufig von sogenannten
Paysites eingesetzt. Z.B. die Websites www.playgal.com oder www.hotsex.com setzen diesen 
Schutzmechanismus ein.

Eine Website, die HTACCESS einsetzt, ist daran zu erkennen, da bei betreten des 
Mitgliedsbereichs ein Popup-Dialog erscheint (NICHT JavaScript-generiert).

Um die Arbeitsweise dieses Schutzes zu verstehen, sollte man einige Grundlagen des 
Unix-Betriebssystems kennen. Unter Unix (bzw. Linux, BSD etc.) und auch unter 
Windows-Webservem wie dem Microsoft IIS sind die HTML-Dokumente wie auch bei einem 
normalen PC hierarchisch in Verzeichnisstrukturen angeordnet und abgelegt. Man spricht hier 
insbesondere von einer "Baumstruktur". Die Wurzel des Baumes (engl. "Root" ) ist die Domain 
selber ohne weitere Informationen. Zum Beispiel www.ibm.com ist die Domain und diese ist das 
Root der Verzeichnisstruktur.


Wenn in dem Verzeichnis "secure" nun die in schtzenden HTML-Dokumente und Grafiken l
iegen wrden so mte in diesem Verzeichnis nun ein HTACCESS-File abgelegt werden. 
Das File mu den Namen ".htaccess" (mit Punkt davor) tragen. Das HTACCESS-File legt fest 
in welcher Datei die Passwrter liegen und auf welche Art das Verzeichnis zu schtzen ist. 
HTACCESS -File sieht folgendermaen aus:

AuthUserFile /usr/home/myhomedir/passes
AuthName MyProtectedSite
AuthType Basic

require valid-user


Diese HTACCESS-Datei legt fest, da das Passwortfile die Datei /usr/home/myhomedir/passes 
auf dem Server ist. Sinnvoller Weise sollte die Passwort-Datei nicht im Bereich der 
HTML-Dokumente liegen, also nicht via WWW zugehbar sein. Die Optionen "AuthName" gibt an 
welche Bezeichnung im PopUp-Dialog erscheinen soll (im Dialog oben beispielsweise "playgal").

Das interessante am HTACCESS-Schutz ist, da durch das HTACCESS-File auch alle 
Unterverzeichnisse unterhalb des Verzeichnisses in dem sich die HTACCESS-Datei befindet, 
mitgeschtzt sind. Und dies bis zu einer beliebigen Tiefe. In unserem Beispiel knnte man 
also unterhalb des Verzeichnisses "secure" beliebig viele weitere Verzeichnisse anlegen. 
Diese wren  alle geschtzt.

Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine beispielhafte Passwort-Datei

robert: $4 $iA$PTOVdCRzYtbpekr/
manfred:$4$3O$ddFYk1dNyki4~JO6%/
thomas:$l$sa$O9orZEC5vRIww.QkI.I\//Ge/

Fr Jedes Mitglied enthlt die Passwortdatei ein Zeile, die aus zwei Teilen besteht die 
durch einen Doppelpunkt getrennt sind. Der erste Teil ist der Login-Name, der zweite Teil 
enthlt das Passwort in verschlsselter Form. Diese Verschlsselung ist sehr sicher. Sie 
ist maschinenspezifisch. Das heit, das selbst wenn man diese Passwortdatei in die Finger 
bekommen wrde, knnte man aus den verschlsselten Passwrtern nicht die wirklichen Passwrter 
zurckberechnen. Bei der Passworteingabe wird das Passwort durch die Unix-Systemfunktion 
"crypt()" kodiert und mit dem in der Passwortdatei abgelegten verschlsselten Passwort 
verglichen. Ist es gleich, so ist der Login OK.

Wie man also erkennen kann, ist es sehr schwierig, in Websites, die mittels HTACCESS geschtzt 
sind, zu gelangen. Allerdings sind manche Webmaster einfach zu dumm, den HTACCESS Schutz 
richtig einzusetzen, und bieten so dem Angreifer einige Mglichkeiten.



3. Schwache Passwrter

Ein schwaches Passwort ist ein Passwort, da leicht erraten werden kann. Hier einige der am 
hufigsten eingesetzten Username/Password Kombinationen:

asdf/asdf
123456/123456
fuck/me
qwertz/qwertz
qwerty/qwerty
q1w2e3
abcl23

Besonders die groen Websites, die einige tausend Mitglieder haben ist es sehr wahrscheinlich 
da solche "schwachen" Passwrter dabei sind. Auerdem mu man sich vorstellen, da einige 
Mitglieder in vielen verschiedenen Websites Mitglied sind und sich nicht alle mglichen 
Passwrter merken wollen.

Daher wird auch oft der Name derjeweiligen Website von den Mitgliedem als Passwort gewhlt.

Bei spiel:
www.hotsex.com: username: hot, passwort: sex
www.hotbabes.com: username: hot, passwort: babes


Oder die Mitglieder benutzen einfach nur  ihren Namen. Dabei sind natrlich die am hufigsten 
vorkommenden Namen besonders interessant:

Im Amerikanischen zum Beispiel

john/smith
 john/john 
miller/miller 
rick/rick
frank/frank

und weitere mehr. Im Deutschen sind natrlich andere Namen interessanter.

Der einfach zu merkende Login bestehend aus "usernname/password", so wie er auch im Passwort
-Dialog gefragt wird, kommt auch hufig vor.

Das schwchste von allen Passwrtern ist allerdings das sogenannte "ENTER" - Passwort. Dabei 
mu beim Erscheinen des Passwort-Dialogs einfach besttigt werden ohne berhaupt etwas 
einzugeben. Hat nmlich der Webmaster beim Erzeugen neuer Mitglieds-Daten einfach ohne eingabe 
irgendwelcher Daten aus versehen einmal unbemerkt sein Tool gestartet, so befindet sich im 
Passwort-File ein eben solcher ,,leerer" Eintrag.

An den engagierten Webmaster richten sich folgende Sichcrheitstips:
 Das Erzeugen ,,leerer" Passwrter verhindern und kontrollieren
 Die Mitglieder nicht die Passwrter selber whlen lassen sondern eines per Zufall 
generieren (z.b. "kd823joq")
 Falls die Kunden ihre Username/Password-Kombination selber whlen drfen, nicht 
zulassen, da der Username gleich dem Passwort ist.




4. Direktes hacken der Passwort-Datei

Normalerweise sollte es nicht mglich sein, an das Passwort-File zu gelangen. In einigen Fllen 
ist es jedoch mglich, daran zu kommen, und zwar in folgenden Fllen: 

 Die Passwort-Datei liegt im public_html-Bereich des Webservers, also in den 
Verzeichnissen, in denen auch die via WWW zugnglichen HTML-Dokumente liegen
 Auf dem Webserver haben viele User einen eigenen virtuellen Webserver

Der zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver bei einem groen 
Webspaceprovider mietet, der auf einem Rechner viele weitere Webserver betreibt 
(z.B. www.webspace-service.de, www.webspace-discount.de, www.simplenet.com etc.) Dann ist es
 mglich, an die Passwortdatei zu kommen, falls man auf dem gleichen Rechner einen Account hat
 und die Passwortdatei ffentlich lesbar ist. Dann kann man mittels FTP oder TELNET in das 
Verzeichnis wechseln, indem derjenige seine Passwortdatei aufbewahrt und diese lesen. Mittels 
eines Brute-Force-Passwort-Crackers wie ,"Crack V5.O" lassen sich dann die Passwrter 
zurckberechnen. Das Programm braucht allerdings ofl viele Stunden dazu und es fhrt nicht 
immer zum Erfolg.

Fr einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem 
Webserver betreiben, den er sich mit anderen Websites teilen mu.



5. Die Admin-Tools

Viele Webmaster der Paysites haben einen sogenannten "Admin-Bereich", der nur fr sie selber 
gedacht ist. Dort erzeugen Sie neue Passwrter oder lschen alte Passwrter etc. Oft liegen 
diese Admin-Bereiche jedoch nicht in einem Passwortgeschtzten Bereich. Die Webmaster denken 
nmlich, es wrde ja keiner die URL ihres Admin-Rools kennen. Aber die URL ist manchmal einfach 
zu erraten Oft heit die URL

www.thepaysite.com/admin.htm
www.thepaysite.com/admin.html oder
www.thepaysite com/admin/

Man sollte auch weitere Namensmglichkeiten austesten. Denn gelingt es, an die Admin-Seite 
zu kommen, so ist man natrlich am allerbesten bedient: Man kann selber so viele neue 
Passwrter hinzuugen, wie man mchte!



6. Phreaken

Unter "Phreaken" versteht man den Einsatz von falschen Informationen, um sich bei einer Paysite
als neues Mitglied zu registrieren. Das ist natrlich verboten und diese  Hinweise hier sollet 
in erster Linie den Webmastern dienen, damit sie sich vor solchem Mibrauch schtzen knnen.

Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die Mitgliedschaft 
online via Kreditk~ric bezahlt wird und danach sofrtiger Zugang erteilt wird.

Phreaker benutzen dazu einen anonymen Internetzugang. Dazu wird oft der Test-Zugang von Aol 
mibraucht. Test-Mitgliedschaften finden sich nahezu in jeder Computerzeitung. Aber auch bei 
okay.net bietet sofortigen Zugang nach Angebe aller Daten. Dabei meldet man sich mit 
Phantasienamen und irgendeiner Kontoverbindung an, die man aus irgendeiner Rechnung oder sonstwo 
her kennt. Schon ist man einen Monat lang anonym via AOL oder okay.net im Internet unterwegs.

Desweiteren bentigt man eine "gltige" Kreditkarten-Nummer (vorzugsweise Visa oder Mastercard - 
in Deutschland Eurocard ). An diese zu kommen, ist schon etwas schwieriger. Eine gngige Methode
 ist es sogenannte "Credit-Card-Generatoren" wie z.B. "Credit Wizard" oder "Cardpro" oder 
"Creditmaster" einzusetzen. Ein Suchem mittels "metacrawler.com" und den Begriffen "Credit Card 
Generator" o. . bringt oft schon die gewnschten Programme.

Dazu sollte man wissen, da die Online-Transaktionszentren nicht genau berprfen knnen, ob 
eine Kreditkartennummer wirklich existiert und wem sie gehrt. Es gibt lediglich bestimmte 
Algorithmen, um die Nummer und die Gltigkeitsdaten einer Kreditkarte auf eine gltige Struktur 
hin zu berprfen. Daher kann man bei der Anmeldung beliebige Namen und Adresse angeben und eine
der generierten Nummern. Allerdings liefern die Generatoren nicht das dazugehrige 
Gltigkeitsdatum.

Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummern mit richtigem
Gltigkeitsdatum zu erhalten: Die meisten der obengenannten Programme bieten die Mglichkeit, 
aus einer real existierenden Kreditkarten-Nummer neue Nummern zu generieren. Dieses Verfahren 
wird "Extrapolation" genannt. Die generierten Nummern unterscheiden sieh meist nur in den 
letzten Stellen und da die Kartennummem bei den Kreditkarten-Herausgebern in der Regel in 
aufsteigender Reihenfolge vergeben werden, haben die so generierten Kartennuniniem meistens 
das Gltigkeitsdatuni der Karte, von der aus extrapoliert wurde. 

Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer neue 
Kartennummern berechnen Das Gltigkeitsdatum ist dann mit grter Wahrscheinlichkeit bei den
extrapolierten Nummern identisch mit dein Gltigkeitsdatum der eigenen, realen Kreditkarte.

Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, da man ihn zurckverfolgen 
kann. Der Zugang mittels anonymer AOL4-Testzugnge bietet maximalen Schutz. Steht kein solcher 
Zugang zur Verfgung, sollte ein "Anonyrnizer" benutzt werden. Einen solchen findet man 
beispielsweise unter www.anonymizer.com. Surf man ber den Anonymizer, ist die IP-Adresse 
nicht zurckverfolgbar. Eine etwas schwchere Variante, seine IP-Adresse zu verstecken ist die,
einen Proxy-Server zu benutzen. Die meisten lnternet-Zugangsprovider bieten die Mglichkeit an, 
ber einen Proxy zu surfen.

Aber Achtung: benutzen man seinen eigenein lnternet-Zugang, also keinen anonymen AOL-Zugang 
oder Anonymizer oder Proxy, so kann der Betreiber  der Website, bei man sich mittels der 
falschen Kreditkartendaten anmeldet, mittels der IP-Adresse, die der Server protokol1iert, 
herausfinden, wer ihn betrogen hat bzw.es versucht hat. Dazu braucht er lediglich Ihren 
Zugangsprovider zu kontaktieren und ihm die IP-Adresse mitzuteilen. Die Provider fhren i.d.R. 
ber die letzten 80 Tage ein Protokoll, wann wer mit welcher IP-Adresse online war.



7. Login-Name Checker

Manche Pay-Sites geben mglichen neuen Mitglieder whrend der Anmeldungsprozedur bereits vor 
der eigentlichen Zahlung die Mglichkeit, einen Mitgliedsnamen zu whlen. Ist der gewnschte 
Name bereits vergeben, wird dies mitgeteilt und man soll einen anderen Namen whlen. Gibt man 
beispielweise "John" als Mitgliedsnamen ein, so sagt de Server meistens, da der Name bereits 
vergeben ist. Das ist natrlich eine prima Voraussetzung fr die oben genannten Tricks zum 
Erraten von Passwrtern. Denn nun wei man, da es zumindest den Namen "John" schon gibt, somit 
mu nurnoch das entsprechende Passwort erraten werden. Das ist eine wesentliche bessere 
Ausgangslage, als wenn man Passwrter zu Usernamen erraten mu, von denen man garnicht wei, 
ob sie berhaupt existieren!

Als Webmaster einer Paysite sollte man also darauf achten, da das Neumitglied erst nach 
verifizierter Zahlung seinen Usernamen wahlen kann!



8. Login-Generator nicht sicher

Oftmals ist es so, da das Neumitglied zur Zahlung von der Paysite zu einem Kreditkarten-Service
geschickt wird (z.b. www.ibill.com). Nach Verifizierung der Zahlung kommt der Neukunde dann 
wieder zu den Seiten der Paysite und wird dort entsprechend weiterbehandelt. In der Regel wird
er nach erfolgreicher Zahlung zu einem Formular geschickt mit dem die Login-Daten erzeugt werden. 
Das Neumitglied kann einen Usernamen und ein Passwort whlen und erhlt nach wahl derer sofortigen 
Zugang. Das Formular fgt die Daten automatisch in die Passwort-Datei ein. Hier liegt jedoch ein 
oft gemachter Fehler:
Geht man nach Erzeugung eines Username/Passwort-Paares einfach mittels des "Back"-Buttons des 
Browsers zurck zum Fomular so kann man aufeinfache und legale Weise ein weiteres 
Uername/Passwort-Paar erzeugen und das immer wieder.

Als Webmaster sollte man folgende zwei Schutzmechauismen einsetzen:

 Das Kreditkarten-Unternelimen sollte nach erfolgreicher Prfung einen einmaligen 
PlN-Code bermitteln. den man dann aus der Liste der noch ltigen PIN-Codes streicht 
und so das Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genua EINMAL 
eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen 
auch als One-Time PIN-Hardcoding" bezeichnet.
 Das Script da die Usernamen/Passwrter erzeugt sollte auch mittels der 
HTTP_REFERRER-Servervariablen berprfen, ob der User auch vom Kreditkartenunternehmen 
kommt. Sonst kann ein gewiefter Hacker ein Script schreiben, das von seinem Rechner 
aus einfach solange verschiedene PIN-Nummem ausprobiert, bis es eine noch gltige findet. 
Sind die PIN z.B. siebenstellig, so dauert es im statistischen Mittel nur 5000 Sekunden,
bis man eine gltige PIN findet wenn das Script jede Sekunde eine PIN testet. Bei einer 
schnellen lnternetverbindung sind jedoch auch mehrere Tests pro Sekunde mglich!



9. Bilder nicht in geschtzten Verzeichnissen

Dieser Fehler ist einer der hufigsten, da er leicht bersehen wird:
Wie bereits erwhnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis 
und alle Unterverzeichnisse geschtzt. Befinden sich die Bilder der Mitgliederseiten jedoch 
in einem Verzeichnis das nicht in dieser geschtzten ,,Baumstruktur" enthalten ist, so kann 
dieses Verzeichnis und die Bilder darin ohne Eingabe von Username/Passwort angesehen werden. 
Besonders einfach ist es dann, wenn das Bilder-Verzeichnis auch nicht gegen auflisten geschtzt 
ist. Dann gengt das Fingeben des Pfades um alle Bilder aufzulisten. Diese Bilderverzeichnisse 
haben oft den Namen "images" oder "gfx", "pics", "pix", "pictures", "pic", "graphics". Ein 
einfaches Durchprobieren mit etwas Phantasie fhrt hier bereits oft zum Erfolg.

Das .htaccess-File liegt im Geschtzten Verzeichnis "members". Dort liegen auch die 
HTML-Dokumente fr die Mitglieder. Die dazugehrigen Bilder liegen jedoch in diesem Beispiel 
im Verzeichnis "images" welches nicht in der members-Hierarchie ist und somit nicht 
passwortgeschtzt ist. Handelt es sich beispielsweise um www.pornsite.com als root dieser 
Paysite so kann mit Browser einfach die URL www.pornsite.com/images eingegeben werden, und 
man erhlt eine Liste der gesammelten Bilder (vorrausgesetzt das Directory-Browsing ist nicht 
serverseitig ausgeschaltet).



10. Packet Sniffing

Diese Mglichkeit ist etwas komplizierter als die anderen beschriebenen, denn es mssen einige 
Vorraussetzungen getroffen werden: Sie mssen in einem LAN (Ethernet-Netzwerk) an einem Rechner 
sitzen und Root-Access haben. Dann kann man einen sogenannten ,,Packet-Sniffer" wie 
beispielsweise "SNOOP" einsetzen. Packet-Sniffer findet man meist als C-Sourcecode im Internet.
 Diese kurze Sourcecodes muss man dann nur noch mittels gcc auf der UNIX-Shell compilieren und 
schon ist es mglich, die Pakete, die zu und von anderen Rechner im LAN gesendet werden, 
abzuhren. Denn Ethernet-Netzwerke setzen die sogenannte ,,Broadcast"-Technologie ein. Ein 
Paket, da fr einen Rechner in einem LAN bestimmt ist, wird im Prinzip an alle Rechner im 
LAN ausgesandt. Packet-Sniffing ist also wiederum besonders in den Fllen gefhrlich, bei 
denen man bei einem Webspace-Provider seinen Webserver mietet und sich dort naturgem mit 
vielen anderen Kunden in einem LAN befindet.Ein Beispiel ist www.pair.com, einer der grten 
kommerziellen Webspace-Provider in den USA. Dort befinden sich ber 70 Webserver in einem LAN, 
auf dem z.Z. ber 30.000 Kunden einen virtuellen Webserver betreiben!

Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines "Segmented Networks" an. 
Bei einem solchen Netzwerk wird nicht die Broadcast-Technologie benutzt, sondern die Pakete 
werden direkt mittels Routing-Tabellen zu dem Ziel-Rechner geroutet. Eine besonders fr 
Web-Server geeignete Lsung ist der Einsatz von SSL (Secure Sockets Layer). Dieses Protokoll 
verschlsselt alle Pakete, die somit zwar noch abgefangen werden knnen, aber nicht mehr 
gelesen werden knnen. SSL wird von den meisten Webhosting-Unternehmen gegen geringen Aufpreis 
angeboten. SSI -Verschlsselte Webinhalte sind am Protokoll-Prefix ,,https://" zu erkennen. 
Zum Betrieb einer SSL-geschtzten Website mu man eine SSl-ID haben, die es beispielsweise 
bei www.verisign.com gibt. Ein kleiner Nachteil ist jedoch, da HTTPS-Verbindungen etwas 
langsamer sind als gewhnliche HTTP-Verbindungen, da ein relativ hoher Verschlsselungs-Overhead 
existiert.



11. Trojanische Pferde Back Orifice und NetBus


Back Orifice
Die amerikanische Hackergruppe Cult of the Dead Cow
http://www.cultdeadcow.com) verffentlichte ein Programm mit dem Namen "Back Orifice" das 
sie als "Fernwartungswerkzeug fr Netzwerke" bezeichnet. Da die Intention eine andere ist, 
ergibt sich schon aus dem Namen: Back Orifice (hintere ffnung) bersetzt man hier am 
besten mit "Hintertr", denn das Programm macht es fast zum Kinderspiel, Schindluder  
mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSoft's "Back Office"-System.

Das nur 124 KByte groe "Server-Modul" lt sich nmlich an ein beliebiges 
Windows-EXE-Programm koppeln, um es nichtsahnenden Anwendern unterzuschieben. Wird die 
Datei unter Windows 95 oder 98 ausgefhrt, klinkt sich der Server quasi unsichtbar im 
System ein. Von diesem Moment an wartet das trojanische Pferd nur noch darauf, ber das 
UDP-Protokoll geweckt zu werden.

Mit dem Client lt sich bequem auf den befallen Rechner zugreifen. Unter anderem kann 
man das Dateisystem manipulieren (Dateien runterladen. hochspielcn etc.), Tasks beenden, 
uvm. Die Funktionsweise des Back Orifice ist schon aus anderen Hacker-Tools bekannt; neu 
ist in erster Linue der Bedienungskomfort der graflschen "Wartungskomiponente" -- wenige 
Eingaben und Mausklicks gengen, um Prozesse zu beenden, Tastatureingaben zu protokollieren, 
die Windows-Registry zu manipulieren oder IP-Adressen umzuleiten.

Einen interessanten Praxisbericht findet man unter der deutschen Adresse 
http://www.puk.d/Back_Orifice/default.html oder http://www.bubis.com/glaser/backorifice.htm

Um Ihr System auf ein vorhandenes Back-Office zu untersuchen, gibt es Programme wie 
BoDetect (http://www.spiritone.com/~cbenson/current_projects/backorifice/backorifice.htm)
oder das Programm BORED (http.//www. st-andrews.ac.uk/~sjs/bored/bored. html)


Es ist aber auch manuell sehr einfach, Back Orifice zu entfernen:
ffnen Sie die Registry (regedit.exe ausfhren) und schauen unter dem Schlssel

"HKEY_LOCAL_MACHINE\5OFTWARE\Microsoft\Current Version\Run Services"


nach einem Eintrag mit dem Namen ".exe" (Default-Filename) bzw. mit einem Eintrag 
der Lnge 124,928 (+/- 30 Bytes). Lschen Sie diesen Eintrag; er bewirkt, da der 
"Back Orifice"-Server bei jedem Windows-start automatisch aktiviert wird.

Das Programm selbst liegt im allgemeinen im Verzeichnis "\Windows\System" und ist daran 
erkennbar, da es kein Programm-lcon hat und eine Gre von 122 KByte (oder geringfgig 
mehr) besitzt. Sollten Sie die Datei aus irgendwelchen Grnden nicht finden, kann es Ihnen 
helfen da verschiedene Informationen als ASCII-String im Prgramm-Code zu finden sind: so 
ist mit groer Wahrscheinlichkeit die Zeichenkette ,,bofilemappingeon" enthalten, die Sie 
ber Suche im Explorer finden werden

Zustzlich zur "Back Orifice-Prgramm-Datei" wird im selben
Verzeichnis noch die "WlNDLL.DLL" zum mitloggen von
Tastatureingaben installiert die Sie auch sinnvoller Weise lschen die
aber alleine keinen Schaden anrichten kann

Das Problem bei Back-Orifice ist da es schwierig ist. die IP-Adresse des Hosts zu erkunden,
da diese sieh ja bei jedem Einwhlen des befallenen Rechners ndert. Dieses Problem gelst
und eine noch mchtigere Lsung geschaflen hat Carl-Fredrik Neikter mit seinem Programm 
"NetBus" ,welches recht hnlich ist. Es bietet noch weitgehendere Funktionen und ist 
einfacher zu installieren.

NetBus

Nachdem Sie sich die entsprechende Datei herungergeladen haben, sollten Sie diese entpacken.
 Nun erhalten Sie drei Dateien: NETBUS.EXE, NETBUS.RTF und PATCH.EXE

Bei PATCH.EXE handelt es sich um das gefhrliche lnfizierungsprogramm, das eigentliche 
Trojanische Pferd. Starten Sie diese Datei also nicht! Die Datei NETBUS.RTF enthlt eine 
kurze englische Anleitung des Autors. Die Datei NETBUS.EXE ist der "Client" mit dem Sie 
auf infizierte Server zugreifen knnen. Diese knnen Sie ohne Sorgen starten. Starten Sie 
zum Testen den Server auf Ihrem eigenen Rechner, indem Sie eine DOS-Eingabeaufforderung 
ffnen und im Verzeichnis von NetBus den Server mit dem Parameter "/noadd" starten, also

PATCH.EXE /noadd [RETURN]

Nun luft der Server. Jetzt knnen Sie den Client starten
(NETBUS.EXE doppelclicken) und auf lhren eigenen Rechner
zugreifen. Whlen Sie dazu als Adresse "localhost" oder "l27.0.0.l".
Wenn Sie den Server beenden wohlen, whlen Sie im Client "Server
Admin" und dann "Close Server".

Auerdem kann das lnfizierungsprogramm so gendert werden, da es die IP-Adresse 
automatisch an eine von Ihnen gewhlt Email-Adresse schickt, sobald jemand mit einem 
von NetBus infizierten Rechner in das Internet geht. Dies ist der gewaltige Vorteil 
gegenber Back Orifice. Dazu whlt man im NetBus-Client den Button ,,Server Setup" und 
gibt die entsprechenden Informationen ein. Schwierig ist es lediglich, einen freien 
Mail-Server zu finden, der Mails von jeder IP Adresse akzeptiert. Dann whlt man "Patch 
Srvr" und whlt die zu patchende lnfizierungsdatei (standardmig "patch.exe").

Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach 
per Email an einen anderen lnternetnutzer schicken und die Datei als "Windows-Update" 
oder als irgendeine tolle lustige Animation bezeichnen. Die Datei kann dazu beliebig 
umbenannt werden (z.b. Win98update.exe oder siedler2-patch.exe etc.). Wird die Datei nun 
gestartet, passiert optisch garnichts. Jedoch hat sich der Netbus-Server bereits auf dem 
Rechner versteckt installiert und wird von nun an jedesmal automatisch gestartet, wenn der 
Rechner gebootet wird.

hat man obige Vernderungen am lnfizierungsprogramm vorgenommen, bekommt man nun immer 
automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald dieser online 
ins Internet geht. Diese IP-Adresse knnen Sie nun im NetfBus-Client eingeben und den 
Rechner manipulieren.

Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei 
hotmail.com oder mail.com gibt.

Um Ihr System zu schtzen, empfiehlt sich Norton Antivirus 
http://www.symantec.de/region/de/avcenter/ welches neben NetBus auch Back Orifice 
erkennt. Sie knnen auch wiederum manuell arbeiten. Der automatische NetBus-Start ist in 
der Registry unter

"\HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\CurrentVersion\Run" 

eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren 
(patch.exe, sysedit.exe oder explore.exe sind einige bekannte Namen)

Weiterfhrende Info finden Sie unter http://www.bubis.com/glaser/netbus.htm



12. Tip des Autors

Sollten Sie beabsichtigen, einen Passwortgeschtzten Intemetservice zu betreiben, so kommen 
Sie nie auf die Idee, einen Microsoft NT-Webserver einzusetzen. Windows NT hat ein 
Sicherheitssystem, das mehr Lcher hat, als ein Schweizer Kse. Statt dessen sollten Sie 
ein Unix-System whlen. Leider bieten deutsche Webspace-Provider grtenteils NT-Lsungen 
an. Hier heit es also, Ausschau halten und ggf konkret bei einem Webspace-Provider nach 
einem Unix-Server fragen. Im wesentlicher Vorteil eines Unix-Servers ist neben der 
Sicherheit der Vorteil, da man sich dort auch per TELNET einloggen kann und so wesentlich 
mehr kontrolle ber den Server hat. Bei NT-Servern ist dies nicht mglich! Empfehlenswert 
und preiswert sind besonders unter BSDI oder Linux laufende Webserver. Wie jeder wei, ist 
Linux sogar kostenlos und Apache, einer der besten Webserver, ist ebenfalls kostenlos 
erhltlich. Auerdem sollte man auch die Performance-Vorteile eines Unix-Systems nicht 
unterschtzen. Besonders im Bereich Trafic-starker Webangebote wird fast ausschlielich 
Unix eingesetzt. Sollten Sie also beispielsweise ein Erwachsenen-Angebot mit vielen 
tausend Bildern etc. planen, so lege ich Ihnen den Einsatz eines Unix-Server wrmstens ans 
Herz. Eine interessante Website zum Thema "Unix vs. NT" findet sich unter unter 
http://www.lot-germany.com/magazin/unix-nt/.htm !



13. Rechtliche Aspekte
Was sagt das Gesetz zum "Hacken" ?

202a Aussphen von Daten:
1. Wer unbefugt Daten, die nicht fr ihn bestimmt und gegen unberechtigten Zugang 
besonders gesichert sind, sich oder einem anderen verschafft, wird mit 
Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. 
2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder 
sonst nicht unmittelbar wahrnehmbar gespeichert sind oder bermittelt werden.

263 Computerbetrug:
1. Wer in der Absicht, sich oder einem Dritten einen rechtswiedrigen Vermgensvorteil 
zu verschaffen, das Vermgen eines Anderen dadurch beschadigt, da er das Ergebnis 
eines Dateiwerarbeitungsvorgangs durch Verwendung unrichtiger Einwirkungen auf den 
Ablauf beinflusst, wird mit Freiheitsstrafe bis zu fnf Jahren oder mit Geldstrafe 
bestraft.

303a Datenvernderung:
2. Wer sich rechtswiedrig Daten ( 202a Abs. 2) lscht, unterdrckt, unbrauchbar 
macht oder verndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit 
Geldstrafe bestraft.
3. Der Versuch ist strafbar.

303b Computersabotage:
1. Wer eine Datenverarbeitnng,  die fr einen fremden Betrieb, ein fremdes Unternehmen
oder eine Behrde von wesentlicher Bedeutung ist, dadurch sthrt, da er.... a) 
eine Tat nach $ 303a Abs. l begeht oder b) eine Datenverarbeitungsanlage oder einen
Datentrger zersthrt, beschdigt, unbrauchbar macht, beseitigt oder verndert, 
wird mit einer Freiheitsstrafe bis zu fnf Jahren oder mit  Geldstrafe bestraft.
2. Der Versuch ist strafbar.



14. Das Berufsbild des Hackers

1. Eine Person, die gerne die Details von programmierbaren Sytemen erforscht und 
versucht, deren Mglichkeiten auszudehnen.

2. Jemand, der enthusiastisch (sogar obsessiv) programmiert oder lieber programmiert,
als nur ber Programme zu theoretisieren.

3. Eine Person, die hack values zu schtzen wei.

4. Eine Person, die gut darin ist, schnell zu programmieren...

5. (mibilligend) Jemand, der sich hemmungslos berall einmischt und versucht 
Informationen aufzudecken, indem er herumschnffelt. Daher Password Hacker, 
Networt Hacker.

Der korrekte Begriff ist Cracker (Aufbrecher).



Der Begriff Hacker beinhaltet oft auch die Mitgliedschaft in der weltweiten 
Netz-Gemeinschaft (z.B. Internet). Er impliziert, da die beschriebene Person sich an die 
Hackerethik hlt (hacker ethic). Es ist besser, von anderen als Hacker bezeichnet zu werden,
als sich selbst so zu bezeichnen. Hacker betrachten sich selbst als eine Art Elite (eine 
Leistungsgesellschaft, die sich durch ihre Fhigkeiten definiert), allerdings eine, in der 
neue Mitglieder sehr willkommen sind. Daher verleiht es einem Menschen eine gewisse
Befriedigung, sich als Hacker hezeichnen zu knnen (wenn man sich allerdings als Hacker 
ausgibt und keiner ist, wird man schnell als Schwindler - bogus - abgestempelt).

The New Hacker's Dictionary

Der Begriff hacken kann die freie intellektuelle Erforschung des hchsten und tiefsten 
Potentials von Computersystemen bezeichnen Hacken kann die Entschlossenheit beschreiben,
den Zugang zu Computem und damit Information so frei und offen wie mglich zu halten. 
Hacken kann die von ganzem Herzen empfundene berzeugung einschlieen, dass in Computern 
Schnheit existiert, dass sie sthetik eines perfekten Programms die Gedanken und den 
Geist befreien kann...
. davon ausgehend, dass Elektronik und Telekommunikation noch immer zum groen Teil 
unerforschte (Gebiete sind, kann berhaupt nicht vorhergesagt werden, was Hacker alles 
aufdecken knnen.

Fr einige ist diese Freiheit wie das Atmen von Sauerstoff, die erfindungsreiche 
Spontanitt, die das Leben lebens wehrt macht und die Tren zu wunderbaren Mglichkeiten 
und individueller Macht ffnet. Aber fr viele - und es werden immer mehr - ist der Hacker 
eine ominse Figur, ein besserwisserische Soziopaht, der bereit ist, aus seiner 
individuellen Wildnis auszubrechen und in anderer Menschen Leben einzudringen, nur um 
seines eigenen, anarchischen Wohlergehens willen. Jede Form der Macht ohne Verantwortung, 
ohne direkte und frmliche berprfungen und ohne Ausgleich macht den Menschen Angst - und 
das mit Recht.

The Hacker Crackdown



15. Anonymes Arbeiten

Du solltest niemanden die Mglichkeit geben ein Profil von dir anzufertigen, dazu ist 
folgendes zu beachten:

 Halte nur zu sehr gut befreundeten Hackern Kontakt, wenn du mit ihnen mails 
austauschst, dann sollten sie natuer ich mit PGP encrypted sein, zu einem anonymen 
Account gehen (benutze keinen gehackten Account, besser www.hotmail.com, 
www.yahoo.com,  ...) unter Verwendung eines speziellen Handles, den du fuer nichts 
anderes verwendest - du solltest den Handle/Account unregelmaessig ndern und 
natuerlich auch ein neues PGP seckey-pubkey Paar erstellen (auch die Passphrase 
aendern!).
 Achte daraut, dass dein pgp key mit mindestens 2048 bit Schluessellaenge generiert 
wird, ausserdem solltest du aus Sicherheitsgruenden nicht die 5.x Version benutzen, 
sondern bei der alten 2.6x Version!!
 Wenn du dich unbedingt auf den einschlgigen IRC Channels rumtreiben willst, dann 
ndere immer deinen Nick und wechsel auch deinen Host (da viele Rechner im Internet 
keine irc-Clients installiert haben, solltest du Relays benutzen (oder auch IP 
Source Routing und IP Spoofing, probier's aus)
ich wei, da das ndern des Nicks nicht so schoen ist, weil man dadurch keine 
Reputation bei der breiten Masse bekommt; aber Reputation ist so ttlich wie 
ntzlich (andere Hacker akzeptieren dich sofort und sind etwas geschwaetziger dir 
gegenber - um sich zu profilieren - aber wenn du erstmal so weit bist, da du 
deine eigenen Exploits schreibst, dann bist du auf den grten Teil der Hacker 
sowieso nicht mehr angewiesen, und die restlichen triffst du nicht so einfach im IRC)
Ntzlich sind hier sogenannte ReRouter, die eine TCP Verbindung weiterleiten, 
was auch schon in der hinsicht interessant ist, wenn man sich vor Attacken von 
anderen hacker schuetzten will, wenn man auf dem IRC zuviel rger verursacht hat ;-))
Auch hier knntest du natrlich einen speziellen Account fr's IRC benutzen



16. Meine Arbeitsumgebung

Als Einwahltpunkt dient mir eine groe Uni mit vielen Usern oder ein groer ISP. Ich 
verwende PPP statt normale Terminalprogramme um eine grere Kontrolle ber meine 
Verbindung zu  haben und weil es vom Vorteil ist ber eine Leitung mehrere Sessons - 
TELNET, FTP - laufen zu lassen.
Im kleinerer Rechner dient mir als Firewall und Router ich baue die PPP-Verbindung zu 
meinem Einwahlpunkt auf und berwache alle eingehenden Pakete. Desweiteren stelle ich mit 
SSH eine Connection zum Einwahlrechner her um periodisch alle eingeloggten User und 
Netzwerkverbindungen zu verfolgen (was natrlich nur fnktioniert wenn der Einwahlrechner 
eine Unix-Maschine ist und kein Terminalserver o.. ) Es ist sehr interessant zu sehen 
was ein Admin alles macht, wenn er merkt, da etwas nicht mit rechten Dingen auf seiner 
Maschine vorgeht. Sobald mir solche Sondierungen/Untersuchungen aufallen, breche ich die 
Verbindung sofort ab, falls ich mich aber gerade in einer kritischen Lage befinde muss ich 
DoS-Attacken benutzen oder den Admin aussperren um seine Arbeit zu verlangsamen bzw. zu 
verhindern. Auf dem Einwahlrechner ist es nicht ntig, seine Gegenwart zu verschleiern, 
es ist besser, unauflllig in der Masse unterzutauchen als irgenweiche Logs zu manipulieren.
Der zweite, grere Rechner ist meine Workstation, von hier aus baue ich eine 
SSH-Verbindung zum ersten Anti-Trace Rechner auf. Dieser Anti-Trace Rechner wechselt 
regelmaessig, liegt im Ausland und ich habe volle Kontrolle ber ihn. Von hier aus gehe ich 
ueber ein weiteren Anti-Trace Rechner zu meinem Hacking-Rechner; auch hier habe ich 
natrlich 'root'-Rechte, der zweite AT-Rechner ist nur ein einfacher TCP-Relay, damit 
erspare ich mir den Stress mit den Logfiles etc. Vom Hacking-Rechner gehe ich in sehr 
sichere Domains oder hacke von hier aus neue Netzwerke (es existieren selbstverstndlich 
mehrere dieser Rechner, die zudem unregelmig gewechselt werden).
Zum Scannen benutze ich einen eigens dafuer gehackten Rechner, die Scanner sind hier alle 
gut versteckt und zustzlich mit 3DES verschlsselt.

Die verschlsselten SSH Verbindung sind ntig, damit die
Admins/Politessen nicht meine Aktivitten am Einwahlpunkt
(oder Sonstwo) mitschneiden knnen.

Falls du nur einen Rechner zur Verfgung hast, dann kannst du dich natrlich auch mit der 
Firewall von Linux/FreeBSD/OpenBSD schtzen. Es ist jedoch komfortabler, die Verbindung 
ber einen speziellen Computer zu beobachten (ich weiss nicht, inwiefern Linux und Co. 
einen zweiten Monitor an einem Rechner untersttzt).

Zustzlich solltest du noch deinen Kernel patchen. damit er dir mehr informationen ber 
eingehende Pakete liefert, somit bist du in der Lage, DoS Attacken. Source-Routing 
Angriffe, Traceroutes etc. und ihre Herkunft zu erkennen.



17. Anonym Surfen

Viele Hacker surfen anonym im Internet um zum Beispiel mit gefakten Kreditkarten-Informationen 
Dienstleistungen oder Waren zu bestellen. Dabei ist es wichtig, da die IP-Adresse nicht 
zugeordnet werden kann. Sie erreichen dies, indem Sie einen anonymen Proxy dazwischen 
schalten. Dieser wird benutzt wie ein normaler Proxy, den ein ISP i.d.R. anbietet. Nur 
liegt der benutzte Proxy des Hackers meist in fernen Lndern, und die hacker wissen von 
diesen Proxies, da die Besitzer keine Logfiles ber Ihre Benutzer anlegen.

Eine sehr gute Informationsquelle bietet die Seite "Proxys4-all" unter 
http://proxys4all.cgi.net

Suchen Sie sich einen dieser ffentlichen Proxies aus und stellen Sie ihn in Ihrem Browser 
als Proxy ein (beispielsweise unter "Bearbeite->Einstellung->Erweitert->Proxies" bei 
Netscape 4++) und schon surfen Sie genau wie ein Hacker anonym im Netz.

Aber leider sind die Proxies oftmals sehr langsam oder fallen ganz aus, weshalb man immer 
eine Ausweichmglichkeit haben sollte!



18. Achtung beim Download!

Niemals Software oder Updates aus einer nicht vertrauenswrdigen Quelle herunterladen. 
Problematisch wird diese Aussage, wenn man sich bewut macht, da alle groen und kleinen 
Anbieter aus Kostengrnden mit (transparenten) sogenannten PROXY-CACHES arbeiten, deren 
Anwesenheit gar nicht mehr zu bemerken ist (CISCO SILENT PROXY, SQUID im ,,silent mode"). 
Selbst FTP-Server, die hufig benutzt werden, um Share- oder Freeware zum Download 
anzubieten, arbeiten oft mit zwischengeschalteten Proxies.

Da solch ein PROXY nur frei zugngliche Daten aus dem Internet zwischenspeichert, legen 
die Systemoperatoren auch keinen groen Wert auf die Absicherung dieses Servers gegen 
Angreifer. Abgesehen davon ist ein solcher PROXY-Server auch nicht durch eine Firewall zu
 sichern, da einfach zu viele Verbindungen zu kontrollieren waren. Die Perforrnance wrde 
arg leiden. Angreifer machen sich diese Tatsache dadurch zunutze, indem sie die 
PROXY-CACHES mit manipulierten Treibern/Updates/Software fttern und somit indirekt fr 
eine vorzgliche Verbreitung Ihrer Netbus/BackOrifice o.. trojanischer Pferde sorgen!



19. Denial of Service - Attacken
Oder: Wie legen Hacker ganze Server lahm

Angriffe auf den TCP/IP-Stack sind gegenwrtig die Ursache von immensen Ausfllen bei ISPs 
und innerhalb des Netzwerkes von Unternehmen. Verantworlich sind hierbei hufig mangelhafte 
TCP/IP-Stacks in Servern und Routern die empfindlich auf defekte Netzwerkkarten und 
speziell konstruierte TCP/IP-Pakete reagieren. Diese Pakete werden von Programmen erzeugt 
die im Internet im Quellecode und als Windows-Programm verffentIicht werden. Diese werden 
exploits genannt und sind im BUCTRAQ Archiv zu finden (http://www.geek-girl.com)

Viele dieser hbschen Windows-Applikationen legen Internet-Server lahm und greifen arglose 
Surfer an. lnsbesondere Microsoft hat sieh hierbei nicht mit Ruhm bekleckert die Folgen 
waren allerorts zu spren: Computerwoche SWF3 Microsoft 
Netscape... -lnternet-Server und viele andere waren wochenlang oftline, hunderttausende 
von Surfern werden mit DoS-Angriffen belegt die einfrieren vor allem von Windows 95/98/NT 
Workstations bewirken.

Microsofl z.B. sperrte seinerseits alle direkten Zugriffe auf deren Internet-Server und 
lie ber mehrere Wochen nur Pakete zu die ber bekannte PROXY's bei IPS's geroutet wurden.

PROXYs oder CACHING-PROXYs nutzen zwangslufig ihren
eigenen TCP/IP-Stack fr ein- und ausgehende Pakete. Pakete von
Angreifern ber PROXYs muten somit scheitern. Eine vollstndige
Liste der unter den Namen "teardrop" ,"land"... bekanntgewordenen
Angriffe findet sich leicht durch eine entsprechende Recherche mit 
einer guten Suchmaschine

Um einen solchen Angriff selber zu entwickeln bzw. zu programmieren, mssen Sie zunchst
 ROOT Zugriff auf einen UNIX Server haben. Programmbeispiele finden sieh unter 
http://www.rootshell.com. Sie sollten auerdem etwas Ahnung von der sogenannten 
RAW Sockets Programmierung haben. Unter C ist das eher kompliziert und frustrierend, 
aber PERL bietet dazu ein prima Modul, welches sich Net::RawlP nennt. leider haben die 
meisten Webspace-Provider, bei denen man einen Unix-Telnet-Zugang bekommen kann, dieses 
Modul aus verstndlichen grnden NICHT installiert. Sie finden es beispielsweise unter 
http://quake.skifnet/RawlP/, oder auf Sergey Kolehev's Homepage in der Ukraine, 
http://www.ie.al.lg.ual/~ksv/. Dort befinden sich auch viele Source-Code beispiele (Perl).


Falls Sie hierzu irgendwelche Fragen haben, es gibt auch eine ausfhrliche FAQ dazu, wo 
alle Anfngerfragen erlautert werden, darunter auch diejenige, wie ich mit diesem Toolkit
 gespoofte IP-Pakete erzeuge bei denen die Absendeadresse geflscht ist. Aber Vorsicht 
viele Provider knnen Spoofing bestimmter Nummernbereiche erkennen, andere leider nicht..

Einige Suchmaschinen, wie z.B YaHoo und HTBOT haben net::rawip mittlerweile zensiert und 
liefern keine brauchbaren Ergebnisse. Die Suchmaschine http://www.northernlight.com/ 
liefert jedoch zu diesem Thema einige hundert Informationen.

Bekannte Attacken heien beispielsweise "Ping of Death", "Land-Attack". 
Eine Suchmaschinen-Recherche zu diesen Themen wird
Ihnen schnell entsprechende Source-Codes oder sogar komplette,
kinderleicht zu bedienende Windows-Applikationen liefern!
Wie durchschlagend diese Angriffe sind, wird daran deutlich, da
Microsoft in den Beschreibungen der Service Packs diese Problematik erst garnicht 
dokumentiert, sondern Patches immer heimlich mitliefert. Wer Microsoft NT Server in 
Unternehmen einsetzt, der hat leider auf das falsche Pferd gesetzt. Microsoft kann bis 
heute noch keinen vernnftigen TCP/IP Stack liefern, was auch die riesigen Ausflle bei 
Internet-Providern mit NT-Servern zeigen. Mittels der Visualbasic-Macros in 
Office-Anwendungen wie Winword kann die alte anfllige Winsock2.1 sogar direkt von einem 
Word-Makro angesprochen werden und so DoS-Attacken aus einem Winword-Dokument heraus an 
das firmeneigene Intranet senden!

Die Gartner GROUP hat signifikante Unterschiede bei den Ausfallzeiten der groen 
Betriebssystem-Plattformen festgestellt, siehe INFORMATIONWEEK 17/18 vom 19. August 1999, Seite 40:
AS/400 5.3 Stunden/Jahr
S/390 8.9 Stunden/Jahr
UNIX 23.6 Stunden/Jahr
Windows NT 224.5 Stunden/Jahr



20. Wichtige Links

Weiterfhrende Informationen finden sie unter anderem hier:

http://www. false.com/security 
http://www.insecurity.org/nmap 
http://www.secunet.com
http://geek-girl.com/bugtraq 
http://rootshell.com 
http://rootshell.com/doc
http://www.sparc.com/charles/security.html 
http://command.com.inter.net/~sod/ 
http://www.phrack.com 
http ://www.es.purdue.edu/coast
http://www.pilot.net/security-guide.htmI 
http://underground.org/ 
http://www.I0pht.com 
http://www.inlonexus.com/~deamon9
http://www.cert.org
http://www.cert.dfn.de
ftp://ftp.blib.pp.se/pub/cracking
http://www.kryptocrew.de/ *g*



21.  Hacker-Glossar

O-day-warez
Als 0-day-warez wird Software bezeichnet, die an diesem
Tag auf den Server zum Downloaden gespielt wurde. (Meist
auch am selben Tag gehackt!)

Appz
Dies ist der Ausduck der auf Warez-Seiten fr Standardapplikationen gebraucht wird.

Courier
Couriere sind Mitglieder von Hackerclubs oder Warez-Seiten, die dafr zustndig sind, da 
sie die gehackte Software mglichst schnell in Umlauf bringen. Dies geschieht meist ber 
einen schnellen Intemetzugang (Standleitung) oder die Software wird ber gebrannte CDs 
verschickt.

Cracker
Ein Cracker ist ein Hacker der in fremden Systemen die Sicherheitsmechanismen berwindet. 
Der Begriff Cracker wurde Mitte der 80 Jahre eingefhrt. Cracker erstellen meist kleine 
Programme, die von verschiedenen Programmen den Passwortschutz oder das Testzeitlimit 
auer Kraft setzen. So gibt es beispielsweise fr verschiedene Softwarepakete, die 
normalerweise 30 Tag lang zu testen sind, einen Crack, mit dem die Zhlfunktion fr die 
benutzten Tage ausgeschaltet wird und somit das Programm fr immer nutzbar gemacht wird.

Cracking
Cracking nennt man das berwinden von Sichcrheitsvorkehrungen in einer Software oder das 
einbrechen in Computersysteme. Auf entsprechienden Hackerseiten findet man oft ganze 
Anleitungen zum "Hacken" von Programmen.

Elite
Anwender, der aktuelle Software vertreibt, keine alte. Gegenteil von Lamer.

Hacker
Hacker haben Spa am Umschreiben von Programmen. Ihr Ziel ist es, sich stndig zu 
verbessern und Zusammenhnge zu begreifen, die sich nicht auf Anhieb erschlieen. Hacker 
reagieren empfindlich, wenn sie ausschlielich mit illegalen Aktionen in Verbindung 
gebracht werden. Hacker sehen sich gerne als Elite.

Lamer
In der Warez-Szene ist unter einem Lamer ein Anwender zu verstehen, der alte Warez 
weiterleitet. Alt bedeutet in diesem Zusammenhang meist lter als drei bis fnf Tage. 
Lamer laden auf Warez-Ftps oft Shareware auf um die Rate umgehen zu knnen.

Larval Stage
Als Larval Stage bezeichnen Hacker eine Phase, in der sie sich aufnichts anderes als auf 
das Umschreiben von Pro-grammen beschrnken. Dieser Begriff wird besonders gerne in Filmen 
benutzt.

Leecher
Als Leecher werden die Anwender bezeichnet. die sich der Warez bedienen, ohne eine 
Gegenleistung dafr zu erbringen. Wer auf einen umfangreichen Download nur wenige Uploads
folgen lt, wird als Leecher bezeichnet. Leecher sind in der Szene nicht sehr beliebt, da 
durch sie die Verbreitung der Warez gebremst wird.

Phreaking
Unter Phreaking versteht man das Knacken von Telefonsystem. Durch Phreaking wird es 
mglich, umsonst oder auf Kosten anderer zu telefonieren.

Rate (Ratio)
Auf FTP-Servern wird oft eine bestimmte Rate beim Download der Daten gefordert. Dass 
heit, wenn man beispielsweise ein Programm mit 5MB herunterldt, muss man dafr auf den 
Server ein Programm mit z.B. 3MB hinaufladen. Dies entsprche einem Verhltnis von 5:3. 
Damit wird garantiert, da stndig neue Programme in Umlauf gebracht werden.

Request
Einige Cracker bieten auf ihren FTP-Servern ein Request-Verzeichnis an, in dem jeder 
die gesuchte Software eintragen kann. Wenig spter wird diese meist von irgendjemandem, 
der diese Software hat, hinaufgeladen.

Warez
Unter Warez versteht man geknackte Vollversionen von kommerziellen Programmen oder 
Sharewareprogrammen. Wenn auf einer Software ein Kopierschutz ist, wird dieser entfernt 
und dann die Software auf sogenannten Warez-Seiten vertrieben. Derzeit gibt es in 
Westeuropa ber 85.000 Warez-Seiten.

Warez DOOdz
hier stehen verschiedene Gruppen in Konktirrenz. Solche Gruppen stellen Software ins 
Internet, bei der sie vorher den Kopierschuti entfernen. Die Gruppe, die am meisten 
Programme am schnellsten herausbringt hat gewonnen.

Anonymizer
Wenn man eine Webseite im Internet besucht, knnen jede Menge Daten ber den Besucher
festgestellt werden. Darunter sind zum Beispiel Browser, Betriebssystem, Provider unter 
anderem ist auch die IP-Nummer dabei, anhand dieser man zurckverfolgt werden kann. 
Sogenannte Anonymizer filtern solche Informationen heraus und setzen dafr andere ein. 
Somit kann man sich im Internet anonym bewegen.

Backdoor
Backdoors sind sogenannte Hintertren, die Programmierer meist zum Austesten eines 
Programmes eingebaut haben, um zum Beispiel nicht jedesmal smtliche Passwrter eingeben 
zu mssen.

Firewall
Ein Firewall stellt sich vor einen Server und berwachtjeglichen Datenverkehr, der zu bzw. 
von dem Server geschickt wird. So ist es mglich, bestimmte Internetadressen zu sperren,
 bzw. den Zugriff auf den Server nur bestimmten Leuten zu ermglichen.

Sniffer
Sniffer hren den gesamten Datenverkehr ab, der ber die angeschlossene Netzwerkkarte
geht. So knnen beispielsweise bestimmte Passwrter herausgefiltert werden.


Port-scanner
Im Internet hat jeder Dienst seinen eigenen Port, so steht zum Beispiel fr HTTP der 
Port 80 und fr FTP der Port 21. Diese Ports knnen fast immer frei belegt werden. 
oft dienen solche Ports auch fr spezielle Admin-Programme, mit denen man den Server 
betreuen kann.

SSL
Im Internet wird eine sichere Verbindung meist mit Hilfe des SSL-Protokolls aufgebaut. 
In einer solchen Verbindung werden alle Daten verschlsselt bertragen. somit haben 
Hacker sehr schwer solche Daten abzuhren. SSL. (Secure Sockets Layer) wurde von Netscape 
entwickelt.

Authentfizierung
Whrend der Authentifizierung wird die Identitt des Benutzers oder des Servers 
sichergestellt.

Attachment
Unter Attachment versteht man einen Anhang, der mit einer
Email verschickt wird.

Denial-of-Service Attacke
Ein solcher Angriff ist nur darauf aus, einen bestimmten
Dienst oder Rechner zu blockieren bzw. zum Absturz zu
bringen.

Plugin
Ein Plugin ist ein kleines Zusatzprogramm zu einem Anwendungsprogramm, mit dem dieses 
um zustzliche Funktionen erweitert wird.

Spoofing
Darunter versteht man das Vortuschen eines falschen Absenders von IP-Paketen 
(IP-Spoofing). Fs lassen sich auch lntemetnamen spoofen, was dann DNS-Spoofing genannt 
wird. Wenn ein kompletter lnternet-Bereich ber einen Zwischenrechner umgeleitet wird, 
nennt man dies Web-Spoofing.

Remailer
Mit Hilfe eines Remailers kann man anonyme Emails verschicken, die auch keine 
Provider-Kennung mehr enthalten.

lncomming - Verzeichnis
So wird ein Verzeichnis auf einem FTP-Server genannt, in dem jeder Lese- und 
Schreibzugriffe hat Solche Verzeichnisse sind hufig auf Servern von Universitten 
vorhanden. Dies wird sehr hufig von Hackern ausgenutzt, um illegale Raubkopien zu 
verteilen.


22. Kostenlos Surfen
Wirklich verboten und illegal ist im Moment die sogenante "Faker"-Technik, bei der man 
sich mit "gefakten" (falschen) Personen~Angaben bei einem Internet-by~Call Anbieter 
registriert und das Passwort dann auch noch ffentlich auf sogenannten "Fake-Sites"
preisgibt! Eine Seite zu diesem Thema findet sich leicht, indem man einmal das Keyword 
"fake" sowie ein oder zwei bekannte lnternet-By-Call Anbieter als weitere Stichworte 
in eine Suchmaschine eingibt (viag, etc.). Es gibt sogar Registrierungs-Generatoren 
(beispielsweise fr Viag-Interkom) die beliebig viele gltige Registrierungen generieren.
Da die meisten Internet-by-Call Anbieter dann eine eigene Rechnung schicken und nicht 
ber das Telekom-Inkasso abrechnen, landen die Gebhren als Rechnung im Briefkasten, 
desjenigen, auf den der Account angemeldet wurde  und den gibt es ofimals nicht. 
Und solange diese Rechnung noch nicht zurckkommt, ist der Zugang offen und es wird 
kostenlos gesurft.

Aber zum Glck sind die Provider ja nicht so dmlich wie manche hacker, die glauben, nun 
kostenlos surfen zu knnen. Oft ist es so, da der Zugang, sobald mehr als eine person 
ihn gleichzeitig benutzt, zu einem teureren Minutenpreis ber das Telekom-lnkasso 
abgerechnet wird! Und dann landen doch die Gebhren auf der Rechnung! Denn man 
sollte immer bedenken, da die Provider die Telefonnummern der eingewhlten Benutzer 
loggen und somit (solange man nicht von einem ffentlichen Telefon aus surf) immer 
Bescheid wissen, wer da auf die Kosten eines anderen oder auf die Kosten eines nicht 
existierenden gefakten Benutzers surft! Denn die Nummer wird ja heute immer bertragen   
auch bei analogen Anschlsse! Das deutsche Telefonnetz ist bereits komplett digitalisiert. 
Und selbst wer sieh sicher glaubt, weil er die CLlP bei der Telekom hat ausschalten 
lassen (wird dann nicht mehr angezeigt), den mu ich leider enttuschen. Jeder, der 
schon einmal von einem anonymen Anrufer belstigt wurde und eine Fangsehaltung beantragt 
hat, wei wie einfach das ist! Fr ca. 20 DM pro Woche liefert Ihnen die Telekom die 
Telefonnummern ALLER Anrufenden!

Hier surfen Sie LE.GAL (!) kostenlos, es fallen lediglich Telefongebhren an!

Conradkom (www.conradkom.de)
hier ist die erste Stunde im Monat sogar kostenlos es fallen noch nicht einmal
Telefongebhren an  also eine Stunde im Monat absolut kostenlos und
gebhren frei surfen bei Conradkom

Incl. Telefongebiihren, Grungebhr: 0,00 DM, Freie Stunden l ,00, Einwahlknoten 
Einheitsnummer, Probezugang. keiner, Anmeldegeblir 0,00 DM. Eigene Homepage. 
2 MB, Email~Adressen. 1, Abrechnung erfolgt mit VIAG Interkom ber Telekom. 
60 Sekunden-Takt.

Mobilcom (www.OlOl9freenet.de)
Bezeichnet sich selber als "kostenlosen Internetzugang"

Ind. Telefongebhren, Grundgebhr: 0,00 DM, Freie Stunden: 0,00,
Einwahlknoten: Einheitsnummer, Probezugang: keiner, Anmeldegebhr: 0,00
DM, Eigene Hornepage: 0 MB, Email-Adressen: 1, Abrechnung erfolgt ber
Telekom, Minutentakt (bei Preselection sekundengenau).


Germanynet (www.germanynet.de)
Bei germany.net haben Sie die geniale Mglichkeit, kostenlos (zzgl. Telekorn-Ottstarif) ins 
Internet zu gelangen. Mittlerweile ist das Angebot nicht mehr nur auf Deutsche Websites 
beschrnkt, sondern erlaubt den ungeingeschrnkten Zugriff auf das gesamte World Wide Web. 
Die kostenlosen Surf-Trips finanzieren sich durch Werbung, die wahrend des Surfens 
eingeblendet wird.

Grundgebhr: 0,00 DM Freie Stunden: 0 Einwahlknoten: 34, Probezugang: unbegrenzt (kostenlos),
Anrneldegebhr: 0,00 DM, Eigene Hornepage: 2 MB, Emai-Adressen: 1 Finanzierung erfolgt ber
Werbeeinblendungen. ( Internetzugang nur ber Proxy-Server).

AOI. und Compuserve (www.aol.com und www.compuserve.com)
Viele Provider bieten einen zeitlich begrenzten Testzugang fr Interessierte. Nutzen Sie 
das kostenlose Angebot, und machen Sie sich ein eigenes Bild von den Leistungen. AOL. 
bietet die Zugangssoltware auf CD-ROM oder Diskette inklusive Pawort zum kostenlosen 
Zugang fr 50 Stunden. Man erhlt diese CD fast in jedem Conlputermagazin als Zugabe. 
Compuserve ermglicht Ihnen einen vollen gebhrenfreien Monat und stellt Ihnen zudem 
die Software auf CD-ROM oder Diskette kostenlos zur Verfgung.