Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Monday, July 14, 2008

Datensicherheit: wichtige Grundbegriffe

Quelle: underflow.de

Virus

Ein Virus ist ein Stück ausführbaren Programmcodes, das mit der primären Absicht geschrieben wurde, sich selbst verbreiten zu können. Wie beim biologischen Vorbild auch ist ein computervirus nicht in der Lage, eigenständig zu existieren, sondern ist auf ein Wirtsprogramm angewiesen, mit dem er zusammen ausgeführt wird.
Üblicherweise hängt sich ein Virus an den Wirt an oder überschreibt diesen teilweise mit seinem eigenen Code. Einige Viren enthalten neben der Fähigkeit, sich zu vermehren (die teilweise auch schon allein erheblichen Schaden verursachen kann)eine sog. Payload (Nutzlast) in Form einer Schadensroutine.
Trojanisches Pferd
Ein Trojanisches Pferd ist ein Programm, das neben der eigentlichen (oftmals nützlich erscheinenden) Funktion eine weitere, potentiell schädliche, dem Benutzer unbekannte Funktion enthält. Beispiele hierfür sind Programme, die eingegebene Passworte stehlen oder eine Backdoor enthalten. Häufig ist auch der
Begriff ''Trojaner'', dieser ist aber insofern inkorrekt, da er mit den historischen Wurzeln des Begriffs in Homers Ilias nicht übereinstimmt.
Backdoor
Eine in einem Programm versteckte Funktion, die es, sofern man Kenntnis von ihrer Existenz hat, erlaubt, Zugriff auf ein fremdes System zu erlangen.
Häufig geschieht dies durch Eingabe eines bestimmten Passworts. Heutzutage bieten die meisten Backdoorprogramme Funktionen an um sich als Server auf einen bestimmten
Port zu binden und auf eingehende Verbindungen zu warten. Viele Backdoorprogramme lassen sich auch völlig normal zur Fernwartung eines Systems einsetzen, sind also nicht unbedingt ''böse''.
Wurm
Ein Wurm ist ein Programm, das sich über Netzwerkverbindungen verbreitet. Es nutzt zu diesem Zweck Sicherheitslücken (z.B. Buffer-Overflows) in häufig eingesetzter Software aus. Im Gegensatz zum Virus ist ein Wurm auch allein ausführbar und braucht die Wirtssoftware nur um Zugriff auf ein anderes System zu erlangen. Heutzutage sind die meisten Würmer für die e-Mail Programme Outlook und Outlook Express von Microsoft geschrieben, da diese sehr weit verbreitet sind und viele Angriffspunkte bieten.
In jüngerer Zeit sind auch sehr häufig Würmer anzutreffen, die sich alleine durch die Mithilfe des Nutzers verbreiten. Diese Würmer spiegeln eine glaubwürdig klingende Nachricht vor (z.B. ein Liebesbrief, ein Sicherheitsupdate von Microsoft oder der neueste Bildschirmschoner mit Nacktfotos irgendwelcher weiblicher Prominenten zu sein) um so den Nutzer dazu zu bewegen das Wurmprogramm auszuführen.
Hoax
Ein Hoax ist eine Art Kettenbrief. Meist enthalten Hoaxes interessant klingende Nachrichten (z.B. Virenwarnung, Microsoft verschenkt Geld usw.) und fordern den Empfänger dazu auf, die Nachricht so schnell wie möglich weiter zu verbreiten. Die Inhalte der Nachrichten sind i.d.R. völlig frei erfunden. Wenn man einen Hoax als solchen erkannt hat, sollte man seinem Inhalt keinen Glauben schenken und ihn natürlich auch nicht mehr weiter verbreiten.

Patch
Ein Patch ist eine Korrektur für einen aufgetretenen Fehler in einem Softwaresystem. Dabei wird keine komplett neue Version verteilt, sondern nur der schadhafte Teil ersetzt. Man kann einen Patch also mit einem Flicken auf einem kaputten Fahrradschlauch vergleichen.
Buffer-Overflow
Ein Buffer-Overflow ist ein Fehler in einem Programm, der dazu führen kann, dass ein Teil des Hauptspeichers überschrieben wird und so beliebiger anderer Code ausgeführt werden kann. Fehler dieser Art treten u.a. häufig dann auf, wenn Programmierer in ihren Programmen für bestimmte Aktionen (z.B. Benutzereingaben) einen zu kleinen Speicherbereich (Puffer) vorgesehen haben und nicht überprüfen ob, die Eingabe auch in diesen paßt.
Durch überlange Eingaben kann es also geschehen, dass der Puffer überläuft und Teile des eigentlichen Programms überschreibt. Besonders gefährlich wird dies, wenn der Puffer über eine Netzwerkverbindung zum Überlaufen gebracht werden kann. Häufig nutzen dies Würmer zur Verbreitung aus.
Dienst
Unter einem Dienst versteht man eine Anwendung oder einen Systemprozess, der eine bestimmte Funktionalität anbietet. Meist geschieht dies über ein Netzwerk. Zum Beispiel ist ein Webserver ein Dienst, der auf einem bestimmten Port (i.d.R. TCP-Port 80) erreichbar ist. Solch ein Dienst stellt aber immer auch ein Einfallstor für Angriffe dar, weshalb man nur die Dienste anbieten sollte, die man auch anbieten will, d.h., dass ein PC, mit dem man sich bei einem Internetprovider einwählt um zu surfen, keinerlei Dienste anbieten sollte.
Bindung
Über eine Bindung wird ein bestimmter Dienst mit einem bestimmten Netzwerkgerät (Modem, ISDN-Karte, Netzwerkkarte usw.) so verbunden, dass Datenpakete, die über dieses Gerät kommen, den Dienst erreichen können.
Häufig spricht man im Zusammenhang auch von Interfaces, wenn man ein solches Netzwerkgerät meint. Man kann also über die Bindungen steuern, welche Diensteaus dem Internet und welche nur aus dem lokalen Netzwerk erreichbar sind.
Beispielsweise sollte man die ''Datei- und Druckerfreigabe'' nur an das lokale Netzwerk binden und nicht an das externe Interface, das z.B. in's Internet geht, außer man möchte seine Dateien mit der ganzen Welt teilen.
Port
Ein Port dient dazu, über das Internet Protokoll IP übermittelte Daten den richtigen Anwendungen/Diensten zuzuordnen. Man kann sich einen Port also als eine Art Buchse vorstellen, in die eine Datenverbindung hineingeht. Es gibt 65535 zustandsbehaftete Ports (TCP) und ebensoviele zustandslose Ports (UDP). Ein Port kann zwei Zustände haben (offen, geschlossen). Von Haus aus ist ein Port geschlossen, erst wenn ein Dienst diesen Port öffnet um auf diesem Anfragen entgegen zu nehmen, können über den Port Daten in den Rechner gelangen. Anfragen, die an einen geschlossenen Port gesendet wurden, werden vom Betriebssystem einfach weggeworfen und durch eine entsprechende Antwort quittiert.
Portscan
Bei einem Portscan wird versucht herauszufinden, ob ein bestimmter Rechner einen bestimmten Dienst anbietet. Dazu werden ein oder mehrere Datenpakete an diesen Rechner gesendet. Aus dessen Antworten (übrigens auch aus der Tatsache, dass er nicht antwortet) kann man dann schließen, ob bestimmte Portsoffen sind, d.h. dass dort ein Dienst
erreichbar ist. Häufig werden Portscans als Angriffe gewertet, dies sind sie aber keinesfalls. Jede Verbindungsaufnahme zu einer Gegenstelle ist schon ein Portscan, es wird zwar nur ein einzelner Port auf einem einzelnen Rechner gescannt, aber es ist und bleibt ein Portscan.
Eine ganz gute Analogie ist es, wenn man sich vorstellt mit vielen Personen in einem großen und absolut dunklen Raum (das Internet) zu sein. Man kann sich allein durch tasten mit den Händen (Senden von Paketen) orientieren. Natürlich kann es sein, dass man dabei versehentlich mit anderen Personen (die ''Gescannten'') in Berührung kommt und diese sich belästigt fühlen. Es kann auch sein, dass jemand diese Situation ausnutzt und ihnen die Brieftasche stiehlt (Angriff nach einem Portscan), aber an sich ist an einer solchen Berührung nichts verwerfliches, da sie die einzige Möglichkeit ist sich zu orientieren.
Firewall
Eine Firewall ist ein Konzept um zwei Netzwerke voneinander zu trennen und den Datenverkehr über diese Verbindung zu kontrollieren und zusteuern. Eine solche Firewall setzt bestimmte Regeln (Policies genannt) um, die festlegen welche Kommunikation stattfinden darf und welche verboten ist. Bestandteile der technischen Umsetzung einer Firewall sind beispielsweise Paketfilter (Einrichtungen, die bestimmte Datenpakete aufgrund ihrer Herkunft, ihres Ziels usw.
durchlassen oder verwerfen) oder Proxies (Einrichtungen, die den Datenverkehr bündeln und als Vermittler zwischen den Endpunkten auftreten, wobei auch hier anhand des Inhalts und des Ziels gefiltert werden kann).

No comments: