Komische Hackingtexte

In einigen Newsgroups hat jemand im Herbst 2000 irgendwas Wirres von einem geheimen Buch gepostet, daß er nun veröffentlichen wolle. Was er dann gepostet hat sieht allerdings mehr nach einem wilden Mix mittelmäßiger FAQs aus. Komisches Zeug, was der Typ da zusammengeschrieben hat, hat wohl zuviel Zeit.

JavaScript-Passwortschutzsysteme

Die einfachste Art von Passwortschutzsystemen ist der sogenannte JavaScript-Schutz. Dabei wird 
der Benutzer beim Betreten einer Seite oder beim Anklicken eines bestimmten Links dazu 
aufgefordert, ein Passwort einzugeben. Diese Art von Schutz ist sehr einfach und bietet nur ein 
Minumum an Schutz.

Beim Betrachten des HTML-Quellcodes der Seite findet sich dann oftmais ein JavaScript-Code 
„hnlich dem folgenden:


 




Wie man sieht, wird das eingegebene Passwort verglichen und bei Korrektheit an eine 
angegebene URL gesprungen. Nun sieht man, wie das Passwort zu heiáen hat und kann es 
einfach eingeben oder direkt die Ziei-URL w„hlen.


Oft wird auch das Passwort benutzt, um eine Ziel-URL zu generieren. Beispielsweise k”nnte die 
geheime Ziel-URL htt~:IImembers.Drotectedserver.com/members/hu862 1 s.html, das Passwort 
,,hu8621s" w�rde als Teil der URL kodiert. Die entsprechende Schutz-Funktion im HTML-Code 
der Seite s„he dann folgendermaáen aus:


function jprot<) ( . / MAN ,PASSWORD'); (MIT { } APACHE-WEBSERVER W�RDEN, BASIC WURZEL GRUNDLAGEN HTACCESS-PASSWORTSCHUTZSYSTEME PASSW”RTER VERZEICHNIS, W„HLT WIRD. (ENGL. MYPROTECTEDSITE IST ROOT WEBSERVERN UNIX ERKENNEN, M�áTE BEI DOMAIN JAVASCNPT-PASSWORTSCHUTZ ALLE FAST ALLER ABGELEGT ANDERE MUá DAHER SEHR VIELE ERH„LT MITGLIEDSBEREICHS ALSO FOLGENDERMAáEN FILE SCHUTZES EINGESETZTEN VERSTEHEN, BSD IST. WWW.PLAYGAL.COM UND ANGEORDNET :LLMEMBER~~NROTECTEDSERVER.COMIMEMBERSI BETRIEBSSYSTEMS SOGENANNTEN GRAFIKEN HTML-SEITEN SIND URL ,,SECURE" ,,.HTACCESS" WENN BETRETEN  require valid-user


Diese HTACCESS-Datei legt fest, daá das Passwortfile die
Datei Iusrlhomelmyhomedirlpasses auf dem Server ist.
Sinnvoller Weise sollte die Passwort-Datei nicht im Bereich der
HTML-Dokumente liegen, also nicht via WWW zugehbar sein.
Die Option ,,AuthName" gibt an, welche Bezeichnung im
Popup-Dialog erscheinen soll (im Dialog oben beispielsweise
,,playgal").

Das interessante am HTACCESS-Schutz ist, daá durch das HTACCESS-File auch alle 
Unterverzeichnisse unterhalb des Verzeichnisses, in dem sich die HTACCESS-Datei befindet, 
mitgesch�tzt sind. Und dies bis zu einer beliebigen Tiefe. In unserem  Beispiel  k”nnte  man  also  
unterhalb  des Verzeichnisses ,,secure" beliebig viele weitere Verzeichnisse anlegen. Diese w„ren 
alle gesch�tzt.

Wie sieht nun die Passwort-Datei selber aus? Im Folgenden eine beispielhafte Passwort-Datei:

robert: $1$4A$JRLQVdCRZYtbPekrLBYZl/ manfred: $1$3 o$ddEYR1dHYkHUO654KEQ1i/ 

F�r jedes Mitglied enth„lt die Passwortdatei eine Zeile, die aus zwei Teilen besteht, die durch 
einen Doppelpunkt getrennt sind. Der erste Teil ist der Login-Name, der zweite Teil enth„lt das 
Passwort in verschl�sselter Form. Diese Verschl�sselung ist sehr sicher. Sie ist 
maschinenspezifisch. Das heiát, daá selbst wenn man diese Passwortdatei in die Finger 
bekommen w�rde, k”nnte man aus den verschl�sselten Passw”rtern nicht die

wirklichen   Passw”rter   zur�ckberechnen.   Bei   der
Passworteingabe  wird  das  Passwort  durch  die  UnixSystemfunktion  ,,crypt()"  kodiert  und  
mit dem  in  der
Passwortdatei abgelegten verschl�sselten Passwort verglichen.
Ist es gleich, so ist der Login OK.

Wie man also erkennen kann, ist es sehr schwierig, in
Websites, die mittels HTACCESS gesch�tzt sind, zu gelangen.
Allerdings sind manche Webmaster einfach zu dumm, den
HTACCESS Schutz richtig einzusetzen, und bieten so dem
Angreifer einige M”glichkeiten.


Schwache Passw”rter

Ein schwaches Passwort ist ein Passwort, daá leicht erraten werden kann. Hier einige der am 
h„ufigsten eingesetzten Usernamelpassword Kombinationen:

asdf/asdf
123456/123456
fuck/me
qwertz/qwertz
qwerty/qwerty
qlw2e3
abcl23

Besonders bei groáen Pay-Websites, die einige tausend Mitglieder haben, ist es sehr 
wahrscheinlich, daá solche ,,schwachen" Passw”rter dabei sind. Auáerdem muá man sich 
vorstellen, daá einige Mitglieder in vielen verschiedenen Websites Mitglied sind und sich nicht 
alle m”glichen Passw”rter merken wollen.

Daher wird auch oft der Name der jeweiligen Website von den Mitgliedern als Passwort gew„hlt.
Beispiel:
www.hotsex.com: username: hot,  password: Sex 
www,hotbabes.com: username: hut, password: babes 

Oder die Mitglieder benutzen einfach nur ihren Namen. Dabei sind nat�rlich die am h„ufigsten 
vorkommenden Namen besonders interessant:

Im Amerikanischen zum Beispiel

j ohn/s~ith john/]'ohn iniller/miller rick/rick frank/frank

und weitere mehr. Im Deutschen interessanter.

Der  einfach  zu  merkende  Login ,,usemameIpassword'~, so wie er auch gefragt wird, kommt 
auch h„ufig vor.

sind nat�rlich andere Namen bestehend  aus im Passwort-Dialog

Das schw„chste von allen Passw”rtern ist allerdings das sogenannte ,,ENTER" - Passwort. Dabei 
muá beim Erscheinen des  Passwort-Dialogs  einfach  best„tigt  werden,  ohne �berhaupt etwas 
einzugeben. Hat n„mlich der Webmaster beim Erzeugen  neuer Mitglieds-Daten einfach  ohne  
Eingabe irgendwelcher Daten aus Versehen einmal unbemerkt sein Tool gestartet, so befindet 
sich im Passwort-File ein eben solcher ,,leerer" Eintrag.

An  den engagierten Webmaster richten sich folgende
Sicherheitstips:
?	Das  Erzeugen kontrollieren
?	Die Mitglieder nicht die Passw”rter selber w„hlen lassen, sondern eines per Zufall generieren 
(z.b. ,,kd823joq")
,,leerer"  Passw”rter  verhindern  und
?	Falls die Kunden ihre UsernamelPassword-kombination selber w„hlen 
d�rfen, nicht zulassen, daá der Username gleich dem Passwort ist

Direktes Hacken der Paaswort-Datei

Normalerweise sollte es nicht m”glich sein, an das Passwort-File zu gelangen. 
In einigen F„llen ist es jedoch m”glich, daran zu kommen, und zwar in 
folgenden F„llen:

?	Die  Passwort-Datei  liegt  im  public_html-Bereich  des Webservers, also in 
den Verzeichnissen, in denen auch die via WWW zug„nglichen HTML-
Dokumente liegen
?	Auf dem Webserver haben viele User einen eigenen virtuellen Webserver

Der zweite Fall tritt dann auf, wenn der Website-Betreiber seinen Webserver 
bei einem groáen Webspaceprovider mietet, der auf einem Rechner viele 
weitere Webserver betreibt (z~B.
	www.webs~ace-service.de,	www.webs~ace-discount.de,
www.simDlenet.com etc.)
Dann ist es m”glich, an die Passwortdatei zu kommen, falls man auf dem 
gleichen Rechner einen Account hat und die Passwortdatei ”ffentlich lesbar ist 
Dann kann man mittels FTP oder TELNET in das Verzeichnis wechseln, in dem 
derjenige seine Passwortdatei aufbewahrt und diese lesen. Mittels eines Brute-
Force-Passwort-Crackers wie ,,Crack V5. 0" lassen sich dann die Passw”rter 
zur�ckberechnen. Das Programm braucht allerdings oft viele Stunden dazu und 
es f�hrt nicht immer zum Erfolg.

F�r einen absolut sicheren Schutz sollte also der Webmaster seine Paysite nicht auf einem 
Webserver betreiben, den er sich mit anderen Websites teilen muá.

Die Admin-Tools

Viele Webmaster der Paysites haben einen sogenannten ,Admin-Bereich~, der nur f�r sie selber 
gedacht ist. Dort erzeugen Sie neue Passw”rter oder l”schen alte Passw”rter etc.
Oft liegen diese Admin-Bereiche jedoch nicht in einem passwortgesch�tzten Bereich. Die 
Webmaster denken n„mlich, es w�rde ja keiner die URL ihres Admin-Tools kennen. Aber die 
URL ist manchmal einfach zu erraten.
Oft heiát die URL

www. thepaysite. com/admin h�m
www. thepaysite.corn/admin.htm} oder www. thepaysite . com/admin/

Man sollte auch weitere Namensm”glichkeiten austesten. Denn gelingt es, an die Admin-Seite zu 
kommen, so ist man nat�rlich am allerbesten bedient: Man kann selber so viele neue
Passw”rter hinzuf�gen, wie man m”chte!


Phreaken

Unter ,,Phreaken" versteht man den Einsatz von falschen Informationen, um sich bei einer 
Paysite als neues Mitglied zu registrieren. Das ist nat�rlich verboten und diese Hinweise hier 
sollen in erster Linie den Webmastern dienen, damit sie sich vor solchem Miábrauch sch�tzen 
k”nnen.

Wir wollen hier den am weitesten verbreiteten Fall beschreiben, bei dem die Mitgliedschaft 
online via Kreditkarte bezahlt wird und danach sofortiger Zugang erteilt wird.

Phreaker benutzen dazu einen anonymen Internetzugang.
Dazu wird oft der Test-Zugang von AOL miábraucht. Test-Mitgliedschaften finden sich nahezu 
in jeder Computerzeitung.
Aber auch okay.net bietet sofortigen Zugang nach Angabe aller

Daten. Dabei meldet man sich mit Phantasienamen und irgendeiner Kontoverbindung an, die man 
aus irgendeiner Rechnung oder sonstwo her kennt Schon ist man einen Monat lang anonym via 
AOL oder okay.net im Internet unterwegs.

Desweiteren ben”tigt man eine ,,g�ltige" Kreditkarten-Nummer (vorzugsweise VISA oder 
Mastercard - in Deutschland Eurocard). An diese zu kommen, ist schon etwas schwieriger. Eine 
g„ngige Methode ist es, einen sogenannten ,,Credit-CardGenerator" wie z.b. ,,Credit Wizard" 
oder ,,Cardpro" oder ,,Greditmaster"   einzusetzen.   Ein   Suchen   mittels ,,metacrawler.com" 
und den Begriffen ,,Credit Card Generator" o.a. bringt oft schon die gew�nschten Programme.

Dazu sollte man wissen, daá die Online-Transaktionszentren nicht genau �berpr�fen k”nnen, ob 
eine Kreditkartennummer wirklich existiert und wem sie geh”rt. Es gibt lediglich bestimmte  
Algorithmen,  um  die  Nummer  und  die G�ltigkeitsdaten einer Kreditkarte auf eine g�ltige 
Struktur hin zu �berpr�fen. Daher kann man bei der Anmeldung beliebige Namen und Adressen 
angeben und eine der generierten Nummern. Allerdings liefern die Generatoren nicht das 
dazugeh”rige G�ltigkeitsdatum.

Jedoch gibt es einen einfachen aber recht wirksamen Trick, um Kartennummern mit richtigem 
G�ltigkeitsdatum zu erhalten: Die meisten der obengenannten Programme bieten die 
M”glichkeit, aus einer real existierenden Kreditkarten-Nummer neue Nummern zu generieren. 
Dieses Verfahren wird ,,Extrapolation" genanannt. Die generierten Nummern unterscheiden sich 
meist nur in den letzten Stellen, und da die Kartennummern bei den Kreditkarten-Herausgebern 
in der Regel in aufsteigender Reihenfolge vergeben werden, haben die so generierten 
Kartennummern meistens das G�ltigkeitsdatum der Karte, von der aus extrapoliert wurde. 
Folgender Bildschirmauszug zeigt den Extrapolationsvorgang:

Dabei kann man seine eigene, realexistierende Kreditkarte nehmen und aus ihrer Nummer neue 
Kartennummern berechnen.  Das G�ltigkeitsdatum ist dann mit gr”áter Wahrscheinlichkeit bei 
den extrapolierten Nummern identisch mit dem G�ltigkeitsdatum der eigenen, realen Kreditkarte.

Dabei braucht der Benutzer dieser Techniken keine Angst zu haben, daá man ihn 
zur�ckverfolgen kann. Der Zugang mittels anonymer AOL-Testzug„nge bietet maximalen 
Schutz. Steht kein solcher Zugang zur Verf�gung, sollte ein ,,Anonymizer" benutzt werden. 
Einen solchen findet man beispielsweise unter www.anonymizer.com. Surft man �ber den 
Anonymizer, ist die IP-Adresse nicht zur�ckverfolgbar. Eine etwas schw„chere Variante, seine 
IP-Adresse zu verstecken ist die, einen ProxyServer zu benutzen. Die meisten lnternet-
Zugangsprovider bieten die M”glichkeit an, �ber einen Proxy zu surfen.

Aber Achtung: Benutzt man seinen eigenen Internet-Zugang, also keinen anonymen AOL-
Zugang oder Anonymizer oder Proxy, so kann der Betreiber der Website, bei dem man sich 
mittels der falschen Kreditkartendaten anmeldet, mittels der IPAdresse, die der Server 
protokolliert, herausfinden, wer ihn betrogen hat bzw. es versucht hat. Dazu braucht er lediglich 
Ihren Zugangsprovider zu kontaktieren und ihm die IP-Adresse
mitzuteilen. Die Provider f�hren i.d.R. �ber die letzten 80 Tage ein Protokoll, wann 
wer mit welcher IP-Adresse online war.


Login-Name Checker

Manche  Pay-Sites geben  m”glichen  neuen  Mitgliedern w„hrend der 
Anmeldungsprozedur bereits vor der eigentlichen Zahlung die M”glichkeit, einen 
Mitgliedsnamen zu w„hlen. Ist der gew�nschte Name bereits vergeben, wird dies 
mitgeteilt und man soll einen anderen Namen w„hlen. Gibt man beispielsweise ,,John" 
als Mitgliedsnamen ein, so sagt der Server meistens, daá der Name bereits vergeben 
ist. Das ist nat�rlich eine prima Vorraussetzung f�r die oben genannten Tricks zum 
Erraten von Passw”rtern. Denn nun weiá man, daá es zumindest den Namen ,,John" 
schon gibt, somit muá nur noch das entsprechende Passwort erraten werden. Das ist 
eine wesentliche bessere Ausgangslage, als wenn man Passw”rter zu Usernamen 
erraten muá, von denen man garnicht weiá, ob sie �berhaupt existieren!

Als Webmaster einer Paysite sollte man also darauf achten, daá das Neumitglied erst 
nach verifizierter Zahlung seinen Usernamen w„hlen kann!


Login-Generator nicht sicher

Oftmals ist es so, daá das Neumitglied zur Zahlung von der Paysite zu einem 
Kreditkarten-Service geschickt wird (z.b. www.ibill.com). Nach Verifizierung der 
Zahlung kommt der Neukunde dann wieder zu den Seiten der Paysite und wird dort 
entsprechend weiterbehandelt. In der Regel wird er nach erfolgreicher Zahlung zu 
einem Formular geschickt, mit dem die Login-Daten erzeugt werden. Das Neumitglied 
kann einen Usernamen und ein Passwort w„hlen und erh„lt nach Wahl derer sofortigen 
Zugang. Das Formular f�gt die Daten automatisch in die Passwort-Datei ein. Hier liegt 
jedoch ein oft

gemachter  Fehler:  Geht  man Username/Passwort-Paares einfach des Browsers zur�ck zum 
Formular, und legale Weise ein weiteres erzeugen und das immer wieder.

nach  Erzeugung  eines mittels des ,,Back"-Buttons so kann man auf einfache 
Usernamelpasswort- Paar

Als Webmaster sollte man folgende zwei Schutzmechanismen einsetzen:

?	Das Kreditkarten-Unternehmen sollte nach erfolgreicher Pr�fung einen einmaligen PIN-Code 
�bermitteln, den man dann aus der Liste der noch g�ltigen PIN-Godes streicht und so das 
Formular zur Username/Passwort-Erzeugung bei jeder Zahlung nur genau EINMAL 
eingesetzt werden kann. Dieses Verfahren wird von den meisten Kreditkarten-Unternehmen  
auch  als  ,,One-Time  PIN-Hardcoding" bezeichnet.
?	Das Script, daá die Usernamenlpassw”rter erzeugt, sollte auch  mittels  der  
HTTP_REFERRER-Servervariablen �berpr�fen, ob der User auch vom 
Kreditkartenunternehmen kommt. Sonst kann ein gewiefter Hacker ein Script schreiben, das 
von seinem Rechner aus einfach solange verschiedene PIN-Nummern ausprobiert, bis es eine 
noch g�ltige findet. Sind die PIN z.B. siebenstellig, so dauert es im statistischen Mittel nur 
5000 Sekunden, bis man eine g�ltige PIN findet, wenn das Script jede Sekunde eine PIN 
testet. Bei einer schnellen lnternetverbindung sind jedoch auch mehrere Tests pro Sekunde 
m”glich!


Bilder nicht in gesch�tzten Verzeichnissen

Dieser Fehler ist einer der h„ufigsten, da er leicht �bersehen wird:
Wie bereits erw„hnt, sind mittels des HTACCESS-Schutzes immer das jeweilige Verzeichnis und 
alle Unterverzeichnisse gesch�tzt. Befinden sich die Bilder der Mitgliederseiten jedoch


in einem Verzeichnis, das nicht in dieser gesch�tzten ,,Baumstruktur" 
enthalten ist, so kann dieses Verzeichnis und die Bilder darin ohne Eingabe 
von Username/Passwort angesehen werden. Besonders einfach ist es dann, 
wenn das Bilder-Verzeichnis auch nicht gegen Auflisten gesch�tzt ist. Dann 
gen�gt das Eingeben des Pfades, um alle Bilder aufzu listen.
Diese Bilderverzeichnisse haben oft den Namen ,,images" oder ,,gfx", ,,pics", 
,,pix", ,,pictures", ,,pic", ,,graphics". Ein einfaches Durchprobieren mit etwas 
Phantasie f�hrt hier bereits oft zum Erfolg.

Beispiel:


memb~rs


Das .htaccess-File liegt im gesch�tzten Verzeichnis ,,members". Dort liegen 
auch die HTML-Dokumente f�r die Mitglieder. Die dazugeh”rigen Bilder 
liegen jedoch in diesem Beispiel im Verzeichnis ,,images", welches nicht in 
der members-Hierarchie ist und somit nicht passwortgesch�tzt ist. Handelt es 
sich beispielsweise um www.pornsite.com als root dieser Paysite, so kann im 
Browser einfach die URL www.i,ornsite.comlimacies eingegeben  werden,  
und  man  erh„lt  eine  Liste  der gesammelten Bilder (vorausgesetzt, das 
Directory-Browsing ist nicht serverseitig ausgeschaltet).


Packet Snifling

Diese M”glichkeit ist etwas komplizierter als die anderen beschriebenen, denn 
es m�ssen einige Voraussetzungen getroffen werden: Sie m�ssen in einem 
LAN (Ethernet-Netwerk) an einem Rechner sitzen und Root-Access haben. 
Dann kann man einen sogenannten ,,Packet-Sniffer" wie beispielsweise 
,,SNOOP" einsetzen. Packet-Sniffer findet man meist als CSourcecode im 
Internet. Diese kurzen Sourcecodes muá man


dann nur noch mittels gcc auf der UNIX-Shell compilieren und schon ist es m”glich, die Pakete, 
die zu und von anderen Rechner im LAN gesendet werden, abzuh”ren. Denn Ethernet-Netzwerke 
setzen die sogenannte ,,Broadcast"-Technologie ein. Ein Paket, daá f�r einen Rechner in einem 
LAN bestimmt ist, wird im Prinzip an alle Rechner im LAN ausgesandt. PacketSniffing ist also 
wiederum besonders in den F„llen gef„hrlich, bei  denen  man  bei  einem Webspace-Provider 
seinen Webserver mietet und sich dort naturgem„á mit vielen anderen Kunden in einem LAN 
befindet. Ein Beispiel ist www.Dair.com, einer der grӇten kommerziellen Webspace-Provider in 
den USA. Dort befinden sich �ber 70 Webserver in einem LAN, auf dem z. Zt. �ber 30.000 
Kunden einen virtuellen Webserver betreiben!

Als Schutz gegen Packet-Sniffing bietet sich der Einsatz eines ,,Segmented Networks" an. Bei 
einem solchen Netzwerk wird nicht die Broadcast-Technologie benutzt, sondern die Pakete 
werden direkt mittels Routing-Tabellen zu dem Ziel-Rechner geroutet. Eine besonders f�r Web-
Server geeignete L”sung ist der Einsatz von SSL (Secure Sockets Layer). Dies Protokoll 
verschl�sselt alle Pakete, die somit zwar noch abgefangen werden k”nnen, aber nicht mehr 
gelesen werden k”nnen. SSL wird von den meisten Webhosting-Unternehmen gegen geringen 
Aufpreis angeboten. SSL-Verschl�sselte Webinhalte sind am Protokoll-Prefix ,,https://" zu 
erkennen. Zum Betrieb einer SSL-gesch�tzten Website muá man eine SSL-ID haben, die es 
beispielsweise bei www.verisign.com gibt. Ein kleiner Nachteil ist jedoch, daá HTTPS-
Verbindungen etwas langsamer sind als gew”hnliche HTTP-Verbindungen, da ein relativ hoher 
verschl�sselungs-Overhead existiert.

Trojanische Pferde

Back onfice; NetBus, Sub7





Back Orifice

Die amerikanische Hackergruppe Cult Of The Dead Cow 

(http:llwww.cultdeadcow.com) ver”ffentlichte ein Programm mit dem 

Namen ,,Back Orifice", das sie als ,,Fernwartungswerkzeug f�r Netzwerke" 

bezeichnet. Daá die Intention eine andere ist, ergibt sich schon aus dem 

Namen: Back Orifice (hintere ™ffnung) �bersetzt man hier am besten mit 

,,Hintert�r", denn das Programm macht es fast zum Kinderspiel, Schindluder 

mit Windows-PCs zu treiben. Witzig die Anspielung auf MicroSoft's ,,Back 

Office"-System.



Das nur 124 KByte groáe ,,Server-Modul" l„át sich n„mlich an ein beliebiges 

Windows-ExE~Programm koppeln, um es nichtsahnenden Anwendern 

unterzuschieben. Wird die Datei unter Windows 95 oder 98 ausgef�hrt, 

klinkt sich der Server quasi unsichtbar im System ein. Von diesem Moment 

an wartet das trojanische Pferd nur noch darauf, �ber das UDP-Protokoll 

geweckt zu werden.



Mit dem Client l„át sich bequem auf den befallen Rechner zugreifen.Unter  

anderem  kann  man  das  Dateisystem manipulieren (Dateien runterladen, 

hochspielen etc.), Tasks beenden, uvm. Die Funktionsweise des Back Orifice 

ist schon aus anderen Hacker-Tools bekannt; neu ist in erster Linie der 

Bedienungskomfort der grafischen ,,Wartungskomponente" --wenige 

Eingaben und Mauskiicks gen�gen, um Prozesse zu beenden, 

Tastatureingaben zu protokollieren, die WindowsRegistry zu manipulieren 

oder IP-Adressen umzuleiten.



Einen interessanten Praxisbericht findet man unter der deutschen Adresse 

httD ://www. puk.de/Back_Orifice/default. html oder http://www. 

bubis.com/glaser/backorifice. htm









Um  Ihr System auf ein vorhandenes Back-Orifice zu untersuchen, gibt es Programme wie 

BoDetect

(http: //www. spiritone com/~cbenson/current_projects/backorifice/backorifice.htm)
 oder
 das Programm BORED (http://www.st-andrews.ac.uk/~sjs/bored/bored html)
 
 Es ist aber auc
h manuell sehr einfach, Back Orifice zu entfernen:
 ™ffnen Sie die Registry (regedit.exe
 ausf�hren) und schauen unter
dem Schl�ssel
 

HKEY_L~CAL_MACHINE\SOFTWARF\Microsof t\Windows\ Currentversion\RunServiceS II



nach einem Eintrag mit dem Namen ,,.exe" (DefaultFilename) bzw. mit einem Eintrag 

der L„nge 124,928 (+1-30 Bytes). L”schen Sie diesen Eintrag; er bewirkt, daá der ,,Back 

Orifice'1-Server bei jedem Windows-Start automatisch aktiviert wird.



Das Programm selbst liegt im allgemeinen im Verzeichnis ,1\Windows\System" und ist daran 

erkennbar, daá es kein Programm-lcon hat und eine Gr”áe von 122 KByte (oder geringf�gig  

mehr)  besitzt.  Sollten  Sie  die  Datei  aus irgendwelchen Gr�nden nicht finden, kann es Ihnen 

helfen, daá verschiedene Informationen als

ASCII-String im Programm-Code zu finden sind; so ist mit groáer Wahrscheinlichkeit die 

Zeichenkette ,,bofilemappingcon" enthalten, die Sie �ber Suche im Explorer finden werden.



Zus„tzlich zur ,,Back Orifice-Programm-Datei" wird im selben

Verzeichnis noch die ,,WINDLL.DLL" zum Mitloggen von

Tastatureingaben installiert, die Sie auch sinnvoller Weise

l”schen, die aber alleine keinen Schaden anrichten kann.









Das Problem bei Back-Orifice ist, daá es schwierig ist, die Adresse des Hosts 

zu erkunden, da diese sich ja bei je( Einw„hlen des befallenen Rechners „ndert.

Dieses Problem gel”st und eine noch m„chtigere L”s geschaffen hat CarI-

Fredrik Neikter mit seinem Progra ,,NetBus",  welches  recht  „hnlich  ist.  Es  

bietet  n' weitgehendere Funktionen und ist einfacher zu installieren.





NetBus

Nachdem Sie sich die entsprechende Datei heruntergela(

haben, sollten Sie diese entpacken. Nun erhalten Sie c

Dateien:	NETBUS.EXE, NETBUS~RTF und PATCH.EXE



Bei PATCH.EXE handelt es sich um das gef„hrlic lnfizierungsprogramm, das 

eigentliche Trojanische Pfe Starten Sie diese Datei also nicht! Die Datei 

NETBUS.R enth„lt eine kurze englische Anleitung des Authors. Die Dat 

NETBUS.EXE ist der ,,Client" mit dem Sie auf infizierte Serv zugreifen 

k”nnen. Diese k”nnen Sie ohne Sorgen starte Starten Sie zum Testen den 

Server auf Ihrem eigenen Rechne indem Sie eine DOS-Eingabeaufforderung 

”ffnen und ir Verzeichnis von NetBus den Server mit dem ParametE ,/noadd" 

starten, also

	PATCH. EXE	/rioadd ~RETURN]



Nun l„uft der Server. Jetzt k”nnen Sie den Client starte (NETBUS.EXE 

doppeldicken) und auf Ihren eigenen RechnE zugreifen. W„hlen Sie dazu als 

Adresse ,,Iocalhost" OdE ,,127.0.0.1". Wenn Sie den Server beenden wohlen, 

w„hlen Si im Client ,,Server Admin" und dann ,,Close Server".

Die Oberfl„che des NetBus-Clients, mit dem Sie den NetBus-Server steuern:

Auáerdem kann das lnfizierungsprogramm so ge„ndert werden, daá es die IP-Adresse 

automatisch an eine von Ihnen gew„hlte Email-Adresse schickt, sobald jemand mit einem von 

NetBus infizierten Rechner in das Internet geht. Dies ist der gewaltige Vorteil gegen�ber Back 

Orifice. Dazu w„hlt man im NetBus-Client den Button ,,Server Setup" und gibt die 

entsprechenden Informationen ein. Schwierig ist es lediglich, einen freien MailServer zu finden, 

der Mails von jeder IP-Adresse akzeptiert. Dann w„hlt man ,,Patch Srvr" und w„hlt die zu 

patchende lnfizierungsdatei (standardm„áig ,,patch.exe").



Wer versucht, einen anderen Rechner zu infizieren, kann die Datei PATCH.EXE nun einfach per 

Email an einen anderen lnternetnutzer schicken und die Datei als ,,Windows-Update" oder als 

irgendeine tolle lustige Animation bezeichnen. Die Datei  kann  dazu  beliebig  umbenannt  

werden  (z.b. Win98update.exe oder siedler2~patch.exe etc.). Wird die Datei nun gestartet, 

passiert optisch garnichts. Jedoch hat sich der NetBus-Server bereits auf dem Rechner versteckt 

installiert und wird von nun an jedesmal automatisch gestartet, wenn der Rechner gebootet wird.



Hat man obige Ver„nderungen am Infizierungsprogramm vorgenommen, bekommt man nun 

immer automatisch eine Email mit der IP-Adresse des infizierten Rechners, sobald dieser online 

ins Internet geht. Diese IP-Adresse k”nnen Sie nun im NetBus-CIent eingeben und den Rechner 

manipulieren.



Hacker benutzen sicherheitshalber anonyme Email-Adressen, die es beispielsweise bei 

hotmail.com oder mail.com gibt.



Um Ihr System zu sch�tzen, empfiehlt sich Norton Antivirus

tp / /www.symantec.de/region/de/avcenter/

welches neben NetBus auch Back Orifice erkennt. Sie k”nnen auch wiederum manuell arbeiten. 

Der automatische NetBus-Start ist in der Registry unter



HKEY_LOCAL MACHINESOFTWARE\Microsoft\Windows\ Currentverston\Run



eingetragen und sollte entfernt werden. Allerdings kann der Dateiname variieren (patch.exe, 

sysedit.exe oder explore.exe sind einige bekannte Namen)



Weiterf�hrende Info finden Sie unter

http://www.bubis com/glaser/netbus.htm


Sub7 (alias Backdoor G)



Sub7, fr�her auch Backdoor G genannt, ist wohl der momentan meistverbreitetste und 

fortgeschrittenste Trojaner, der im Internet kursiert. Seine Anwendungsm”glichkeiten sind 

extrem vielf„ltig (vom lustigen Scherz unter Freunden, �ber die Fernadministration des eigenen 

Computers, bis zur b”swilligen Spionage oder zerst”rung von Daten), aber auch einfach.



Das Programmpaket Subseven - aktuell ist die Version 2.1.3 M.U.l.E - besteht grundlegend aus 3 

Programmen:



?	server.exe

?	EditServer.exe

?	SubSeven.exe



Alle 3 Programme werden (in Ihrer Ursprungsversion) von g„ngigen Virenscannern erkannt. 

Sollte man selbst Opfer von Sub7 geworden sein, findet sich allerdings nur die Datei server.exe 

auf dem eigenen Rechner. Sie kann in einem beliebigen Verzeichnis liegen, sowie einen 

beliebigen (!) Namen annehmen, solange die Endung *.exe, *.com, *.dll oder

* .scr ist. Die beiden anderen Programme dienen der Bedienung von Sub7 und der der 

Konfiguration des Servers.



Infizieren:

Zum infizieren eines Opfer ben”tigt man die Datei server.exe (der eigentliche Trojaner) und das 

Programm EditServer, um den Server an bestehende Bed�rfnisse anzupassen. Wie am folgenden 

Screenshot von EditServer zu sehen, sind die Einstellungen f�r den Server sowohl vielf„ltig als 

auch praktisch. Der Sub7-Server l„át sich an einen beliebigen Port andocken, ja sogar bei jedem 

Start einen zuf„lligen Port ausw„hlen. Die Verschiedenen Benachrichtigungsoptionen 

erm”glichen es, sofort �ber alle notwendigen Daten informiert zu werden, sobald das Opfer eine 

Verbindung zum Internet hat.



	~e~er ~ rnuie'~ 7~~se]

Hierbei kann man sich entweder per Email, �ber den WebpagE ICQ 

(www~mirabilis.com) oder in einem IRC-Chat informiere lassen.  

Ausserdem  kann  man den  Server (auch di Einstellungen des Servers) mit 

einem Passwort sichern lasser den Server an eine beliebige Datei anh„ngen 

(dann installiert ~ sich w„hrend das gebundene Programm startet) und/oder 

ein gef„lschte Fehlermeldung bei der Installation ausgeben lasser Das 

t�ckischste sind jedoch die Methoden mit denen der Serv6 nach Installation 

unsichtbar gestartet werden. Hier reichen di M”glichkeiten von einem 

Autostarteintrag in der SystemdatE win.ini �ber einen Autostartschl�ssel in 

der Windows Registrierung, bis zum ersetzten des Windows-Explorers durcl 

eine Datei, die gleichzeitig den Server beinhaltet. Bei de letzteren Methode 

ist es nicht m”glich Sub7 mit einen Virenscanner zu entfernen ohne das 

komplette Windows System untauglich zu machen. Hat man nun den Server 

nac~ eigenen W�nschen pr„pariert, �bermiffelt man ihn zun gew�nschten 

Opfer und l„sst dieses die erstellte Datei starten Schon erh„lt man die erste 

Nachricht �ber IP, Port unc Passwort des Sub7-Servers beim Opfer.

1











Die šbermittlung geschieht entweder per Email-Anhang oder indem man den Server als 

Download auf einer Internetseite zur Verf�gung stellt (beispielsweise als ,,Quake3 Patch").

Anwendung:

Hat man einmal ein Opfer mit einem Sub7-Server infiziert, ist die Handhabung von Subseven 

denkbar leicht. Auch der Client (mit dem der Server gesteuert wird> ist mit einer intuitiven 

Windowsoberfl„che  versehen.  Nach  dem  Start  von SubSeven.exe gibt man die IP des Opfers 

und den Port, den Sub7 benutzt, in die entsprechenden Eingabefelder ein und bet„tigt die 

Schalifl„che ,,Connect". Schon baut sich die Verbindung zwischen Server und Client auf. Falls 

vergeben wird man noch nach dem eingestellten Passwort gefragt. Nach erfolgreicher Eingabe 

hat man �ber den Client (SubSeven.exe> die volle Kontrolle �ber den Computer des Opfers. 

Hierzu bietet Sub7 eine riesige Anzahl an Optionen, die auf der linken Seite �bersichtlich in 

Kategorien gegliedert sind. Hier reicht die Palette vom Anfordern s„mtlicher gespeicherter 

Passworte (mcl. lnternetPasswort mit Einwahlnummer), �ber eine šbericht aller Tastatur-

Anschl„ge die das Opfer im Offlme-Modus getippt hat und einen Windows „hnlichen 

Dateimanager. šber die sicht





auf das Opfer durch eine angeschlossene Kamera, ein Bild d aktuellen 

Monitorinhalts und eine šbersicht der laufend Programme. Bis zum 

verdrehen der Bildschirmansicht be Opfer, ver„ndern der Windows-Farben, 

starten und beend von Programmen und �bernehmen der Mousekontrolle, 

so',' aktivieren und deaktivieren beliebiger angeschlossener Ger~ (wie 

Tastatur, Mouse oder Bildschirm). Die Anzahl der Option~ ist riesig groá, 

alle sind jedoch �ber ein paar Mouseklic komfortabel zu erreichen und zu 

bedienen. Zus„tzlich Sil s„mtliche Einstellungen, die �ber EditServer.exe 

getroffE wurden durch den Client ver„nderbar. F�r fortgeschrittene Us 

bietet Sub7 noch eine weitere �berragende Option. Die so Port-Redirect. 

Hierbei kann der Hacker s„mtliche Aktivit„te die er im Internet durchf�hren 

will �ber den Rechner des Opfe umleiten, egal ob Surfen, Emails 

verschicken oder im IR chatten. Illegale Handlungen werde so anstatt zum 

Hacker zu Opfer zur�ck-verfolgt. Diese Vielfalt der Optionen macht Su~ 

nicht nur nutzbar f�r Anf„nger und Profi, sonder auch gef„hrlic in  Bezug  

auf  Industriespionage  und  n�tzlich  zt Fernadministration.



Desinfizieren:

Eine Infektion mit Sub7 zu erkennen ist „uáerst schwer. Di sicherste 

Methode ist das Durchsuchen der Window~ Registrierung nach dem Wort 

,,subseven", da dort der Serv~ seine Einstellungen ablegt. Eine weitere 

M”glichkeit sollte de Einsatz eines Virenscanners sein. Davon ist jedoch in 

dieser Fall abzuraten, da diese verschiedene Startmethoden nic~ verbn�nftig 

beseitigen und damit das System unbenutzba machen. Eine praktische 

M”glichkeit ist der Einsatz von Sub~ selbst. Indem man sicht mit der 

eigenen IP �ber Sub7 verbinde (die IP des eigenen Rechners ist immer �ber 

127.0.0.1 zt erreichen) und den Server �ber die Option ,,remove server 

l”schen zu lassen. Verschiedene Sub7-Versionen kann mar auch mit einem 

kleinen Tool aus der Hackerszene entfernen Den    ,,SubsevenRemover"    

findet    man     au http://www.sub7help.de zum Download.



Vorbeugen:

Der beste Schutz, nicht von einem Trojaner infiziert zu werden ist nat�rlich, nie ein Programm 

aus dem Internet anzunehmen. Kein Internet-Nutzer m”chte dies jedoch missen. Eine andere 

M”glichkeit ist der Einsatz einer Firewall. Diese sind bei Sub7 jedoch oft wirkungslos, da der 

Trojaner auch den FTP-Port (21) oder den alten http-Port (80) nutzen kann. Eine sichere Methode    

ist    das    Programm    Lockdown2o0� (htt~:IIwww. lockdown2�oo.de), welches st„ndig im 

Hintergrund alle emfangenen Datenpakete nach Signaturen von Trojanern scannt und diese bei 

Bedarf abf„ngt. Sollte Lockdown Hacker-Aktivit„ten entdecken, verfolgt es das Datenpaket 

zur�ck und zeigt die IP des Hackers an.



Fazit:

Subseven ist, wie schon gesagt, einer der weitest entwickelten und komfortabelsten Trojaner. Die 

Version 2.1.3 hat einen Funktionsumfang wie kein anderer Trojaner. Mit Einf�hrung der Version 

2.2 (vor. Mitte Juni 2000) sollen die verschiedenen Optionen Modular �ber sog. Pluglns 

hinzugef�gt werden k”nnen. Damit  wird die Dateigr”sse stark variieren, ja der Server wird sogar 

von mehr als 350 kb (2.1.3)  auf 60 kb reduzierbar sein. Somit wird auch die erkennung von Sub7 

an der Dateigr”sse unm”glich.






Tip des Autors

Sollten  Sie  beabsichtigen,  einen  passwortgesch�tzter lnternetservice zu 
betreiben, so kommen Sie nie auf die Idee. einen Microsoft NT-Webserver 
einzusetzen! Windows NT hai ein Sicherheitssystem, das mehr L”cher hat, als 
ein Schweizer K„se. Statt dessen sollten Sie ein Unix-System w„hlen. Leider 
bieten deutsche Webspace-Provider gr”átenteils NT-L”sungen an. Hier heiát 
es also, Ausschau halten und ggf. konkret bei einem Webspace-Provider nach 
einem Unix-Server fragen! Ein wesentlicher Vorteil eines Unix-Servers ist 
neben der Sicherheit der Vorteil, daá man sich dort auch per TELNET 
einloggen kann und so wesentlich mehr Kontrolle �ber den Server hat. Bei 
NT-Servern ist dies nicht m”glich! Empfehlenswert und preiswert sind 
besonders unter BSDI oder Linux laufende Webserver. Wie jeder weiá, ist 
Linux sogar kostenlos und Apache, einer der besten Webserver, ist ebenfalls 
kostenlos erh„ltlich. Auáerdem sollte man auch die Performance-Vorteile 
eines Unix-Systems nicht untersch„tzen. Besonders im Bereich Traffic-starker 
Webangebote wird fast ausschlieálich Unix eingesetzt. Sollten Sie also 
beispielsweise ein Erwachsenen-Angebot mit vielen tausend Bildern etc. 
planen, so lege ich Ihnen den Einsatz eines Unix-Servers w„rmstens ans Herz. 
Eine interessante Website zum Thema ,,Unix vs. NT" findet sich unter 
htt~I/www.lot-germany.com/magazin/unix-nt.htm!


Rechtliche Aspekte
Was sagt das Gesetz zum ,,Hacken"?

§202a Ausspähen von Daten:
1.	Wer unbefugt Daten, die nicht für ihn bestimmt und gegen
unberechtigten Zugang besonders gesichert sind, sich oder einem anderen
verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe
bestraft. 

§263 Computerbetrug:
1.	Wer in der Absicht,   sich oder einem Dritten einen rechtswidrigen    Verm”gensvorteil zu 
verschaffen, das Verm”gen eines Anderen dadurch besch„digt, daá er das Ergebnis   eines   
Datenverarbeitungsvorgangs   durch Verwendung unrichtiger Einwirkungen auf den Ablauf 
beinfluát, wird mit Freiheitsstrafe bis zu f�nf Jahren oder mit Geldstrafe bestraft.

§ 303a Datenveränderung:
2.	Wer sich rechtswiedrig Daten (õ 202a Abs. 2)  l”scht, unterdr�ckt, unbrauchbar macht oder 
ver„ndert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
3.	Der Versuch ist strafbar.

õ303b Computersabotage:
1.	Wer eine Datenverarbeitung,   die f�r einen  fremden Betrieb, ein fremdes Unternehmen oder 
eine Beh”rde von wesentlicher Bedeutung ist, dadurch st”rt, daá er... a) eine Tat  nach  $  303a  
Abs.  1  begeht  oder  b)  eine Datenverarbeitungsanlage oder einen Datentr„ger zerst”rt, 
besch„digt, unbrauchbar macht, beseitigt oder ver„ndert, wird mit einer Freiheitsstrafe bis zu 
f�nf Jahren oder mit Geldstrafe bestraft.
2.	Der Versuch ist strafbar.


Das Berufsbild des Hackers

1.	Eine Person, die gerne die Details von programmierbaren Sytemen erforscht und versucht, 
deren M”glichkeiten auszudehnen.

2.	Jemand, der enthusiastisch (sogar obzessiv) programmiert oder lieber programmiert, als nur 
�ber Programme zu theoretisieren.
3.	Eine Person, die hack values zu sch„tzen weiá.

4.	Eine Person, die gut darin ist, schnell zu programmieren...

5.	(miábilligend) Jemand, der sich hemmungslos �berall einmischt und versucht Informationen 
aufzudecken, indem er herumschn�ffelt Daher Password Hacker, Networt Hacker.

Der korrekte Begriff ist Cracker (Aufbrecher).


Der Begriff Hacker beinhaltet oft auch die Mitgliedschaft in der weltweiten Netz-Gemeinschaft 
(z.B. Internet). Er impliziert, daá die beschriebene Person sich an die Hackerethik h„lt (hacker 
ethic). Es ist besser, von anderen als Hacker bezeichnet zu werden, als sich selbst so zu 
bezeichnen. Hacker betrachten sich selbst als eine Art Elite (eine Leistungsgesellschaft, die sich 
durch ihre F„higkeiten definiert), allerdings eine, in der neue Mitglieder sehr willkommen sind. 
Daher verleiht es einem Menschen eine gewisse Befriedigung, sich als Hacker bezeichnen zu 
k”nnen (wenn man sich allerdings als Hacker ausgibt und keiner ist, wird man schnell als 
Schwindler - bogus
-	abgestempelt).
The New Hacker's Dictionary

Der Begriff hacken kann die freie intellektuelle Erforschung des h”chsten und tiefsten 
Potentials von Computersystemen bezeichnen . Hacken kann die Entschlossenheit beschreiben, 
den Zugang zu Computern und damit Information so frei und offen wie m”glich zu halten. 
Hacken kann
die von ganzem Herzen empfundene šberzeugung einschlieáen, dass in Computern Sch”nheit 
existiert, dass sie Žsthetik eines perfekten Programms die Gedanken und den Geist befreien 
kann...

.davon ausgehend, dass Elektronik und Telekommunikation noch immer zu groáen Teil 
unerforschte Gebiete sind, kann �berhaupt nicht vorhergesagt werden, was Hacker alles 
aufdecken k”nnen.

F�r einige ist diese Freiheit wie das Atmen von Sauerstoff, die erfindungsreiche Spontanit„t, 
die das Leben lebens-wehrt macht und die T�ren zu wunderbaren M”glichkeiten und 
individueller Macht ”ffnet. Aber f�r viele - und es werden immer mehr - ist der Hacker eine 
omin”se Figur, ein besserwisserischer Soziopaht, der bereit ist, aus seiner individuellen 
Wildnis auszubrechen und in anderer Menschen Leben einzudringen, nur um seines eigenen, 
anarchischen Wohlergehens willen.

Jede Form der Macht ohne Verantwortung, ohne direkte und f”rmliche šberpr�fungen und 
ohne Ausgleich macht den Menschen Angst - und das mit Recht.

The Hacker Crackdown

Hacker-Ethik

Der Chaos-Computer-Club definierte die Hackerethik 1997 in den  folgenden  Maáregelungen.  
Leider  werden  diese Grundregeln der Hacker-Ethik oftmals ben�tzt, um Straftaten zu 
legitimieren. Einige der Regeln sollten nat�rlich nicht nur f�r Hacker gelten und sind recht 
allgemeing�ltig.
?	Der Zugang zu Computern und allem, was einem zeigen kann, wie diese 
Weit funktioniert, sollte unbegrenz und vollst„ndig sein.
?	Alle Informationen m�ssen frei sein.
?	Miátraue Autorit„ten - f”rdere Dezentralisierung.
?	Beurteile einen Hacker nach dem, was er tut und nich nach �blichen 
Kriterien wie Aussehen, Alter, Rasse, Geschlecht
1	oder gesellschaftlicher Stellung.
?	Man kann mit einem Computer Kunst und Sch”nheit
1
schaffen.
?	Computer k”nnen Dein Leben zum Besseren ver„ndern.
?	M�he nicht in den Daten anderer Leute.
?	™ffentliche Daten n�tzen, private Daten sch�tzen.


Anonymes Arbeiten

Profesionelle Hacker wenden folgende Tricks an, um m”glichst lange unentdeckt zu bleiben. 
Viele dieser Ratschl„ge sind f�r jedermann sinnvoll, damit es Firmen im WWW nicht gelingt, 
Benutzerprofile anzuwenden. Einige dieser Maánahmen sind also nicht nur f�r Kriminelle 
sinnvoll!

?	Emails verschl�sseln (mit PGP, gibt es kostenlos). Benutze anonyme im Ausland liegende 
Email-Server (benutze keinen
gehackten    Account,    besser    www. hotmail .com, www.yahoo.com, ...). Du solltest deinen 
Spitznamen (Nick) unregelm„áig „ndern und nat�rlich auch regelm„áig ein neues PGP secretkey-
publickey Paar erstellen (auch die
Passphrase „ndern!).
?	Wenn Du viel lRCen m”chtest, dann „ndere immer Deinen Nick und wechsel auch deinen 
Host (da viele Rechner im
Internet keine irc-Clients installiert haben, solltest du Relays benutzen (oder auch IP Source 
Routing und IP Spoofing)
?	Versuche, Deinen Hackerstolz zu unterdr�cken und h„nge Deine Aktivit„ten nicht an die groáe 
Glocke. Auch dann nicht,
wenn Dir ein groáer Coup gelungen ist und Du Dir davon durch Bekanntmachung groáe 
Reputation erhoffst. Merke

Seite 35
Dir, daá es Dich nicht weiterbringt, wenn Dich Anf„nger bewundern. Du brauchst nur 
Reputation bei den wirklichen Insidern und die Erfahren durch die Buschtrommeln des 
lnternets schon schnell genug davon, wenn Du mal ein gr”áerer Projekt gemacht hast. Schw„tz 
nicht im IRC herum, da h„ngen oft Ermittler und private Dissidenten herum, bleibe im IRC 
immer so abstrakt wie m”glich.
?	Benutze zum lRCen einen unabh„ngigen ISP-Zugang, den Du f�r keine anderen Aktivit„ten 
benutzt, so k”nnen IPAdressen nicht zugeordnet werden und keiner weiá, daá der, der da 
gerade chattet, derjenige ist, der eben den Groárechner gehackt hat!
?	Verwende nur Schl�ssel mit mindestens 1024 Bit. Benutze nur PGP-Software aus 
authentischer Quelle, nicht von unbekannten Homepages runterladen!
?	Benutze Rerouter, die eine TCP Verbindung weiterleiten, damit wirst Du anonym und der 
Rerouter sch�tzt Dich ebenso vor Angriffen anderer Hacker 1 Ermittler (siehe ,,Meine 
Arbeitsumgebung" weiter unten)



Meine Arbeitsumgebung

Ich benutze gr9áe Provider oder eine groáe Uni als Internetzugang. Uber den Internetzugang via 
PPP ist es m”glich, mehrere Clients gleichzeitig zu benutzen (FTP, Telnet, WWW etc.). So kann 
ich im Hintergrund einen Brute-Force Hacker via Telnet auf einen zu hackenden Account 
loslassen oder  einen  umfangreichen  Portscan  durchf�hren  und w„hrenddessen im WWW 
rumsurfen.

Ein kleinerer Linux-Rechner dient mir als Firewall und Router, ich baue die PPP-Verbindung zu 
meinem Einwahlpunkt auf und �berwache alle eingehenden Pakete an der Firewall.
Per SSH w„hle ich mich im Einwahlrechner des ISP (sofern es sich um einen Unix-Rechner 
handelt) ein und checke

kontinuierlich alle eingeloggten Nutzer und Connections (Verbindungen).

Wenn pl”tzlich ein User ,,Admin" im Einwahlrechner aktiv ist, sollte man so langsam anfangen, 
seine Sachen zu packen. In der Nacht ist das nat�rlich nicht sehr wahrscheinlich und zum Schluss 
der Session kann ich mit Logfile-Overflooding alle meine Spuren leicht verwischen! Wenn Du 
mitten in einem wichtigen Projekt bist, wenn der Admin kommt, muát Du (wenn Du es dringen 
zuende bringen m”chtest) den Admin oder Einwahlrechner mit DoS (Denial-Of-Service)-
Attacken auáer Gefecht setzen und Dir somit etwas Zeit verschaffen.

Der zweite, grӇere Rechner ist meine Workstation, von hier aus baue ich eine SSH-Verbindung 
zum ersten Anti-Trace Rechner auf.

Dieser Anti-Trace Rechner wechselt regelm„áig, liegt im Ausland (šbersee). Hinter diesen Anti-
Trace-Rechner schalte ich  nach  belieben  weitere  Anti-Trace  Rechner  als Zwischenstation ein, 
je nachdem wie gef„hrlich mir das Projekt erscheint.

Der zweite PC ist nur ein einfacher TCP-Relay, der meine TCP-Pakete verschleiert und die 
Herkunft somit schwieriger herauszufinden macht. Meinen eigentlichen Hacking-Rechner 
benutze ich dann schlieálich f�r meine  Projekte,  um beispielsweise in sehr sichere Domains zu 
gelangen oder ich hacke von hier aus andere Netzwerke. Wenn Du fleissig bist, gelingt es Dir 
vielleicht, einen kleinen Vorrat an HackingRechnern zu hacken, die Du dann im Wechsel 
benutzen solltest. So minimiertst Du das Risiko ein weiteres mal.

Ich habe auch immer ein paar Port-Scanner in šbersee laufen, die Tag und Nacht alle m”glichen 
IP-Adressen und Ports abtasten und die Daten sammeln, die ich dann f�r meine HackAngriffe 
benutze. Die Scanner sind zus„tzlich mit 3DES oder Blowfish verschl�sselt, genau wie die 
Daten, die sie f�r mich

erzeugen. Wenn mal jemand meinen Scanner entdeckt, kann er doch nichts mit den Daten 
anfangen.


Unter Linux ist es praktisch, den kernel zu patchen. Es gibt
Patches, die Dir wesentlich  mehr Info �ber laufende
Connections und Pakete geben als es die Normalen Netzwerk-Layer tun.  Damit ist es einfacher 
DoS Attacken, Source-Routing Angriffe, Traceroutes etc. und Deine Angreiffer zu
erkennen!


Anonym Surfen

Viele Hacker surfen anonym im Internet um zum Beispiel gefakten  Kreditkarten- Informationen  
Dienstleistungen ( Waren zu bestellen. Dabei ist es wichtig, daá die IP-Adre nicht zugeordnet 
werden kann. Sie erreichen dies, indem einen anonymen Proxy dazwischen schalten. Dieser ~ 
benutzt wie ein normaler Proxy, den ein ISP i.d.R. anbietet liegt der benutzte Proxy des Hackers 
meist in fernen L„ndE und die Hacker wissen von diesen Proxies, daá die Besit keine Logfiles 
�ber Ihre Benutzer anlegen.

Eine sehr gute Informationsquelle bietet die Seite ,,Proxys-4-all" unter 
http://proxys4all.cgi.net

Suchen Sie sich einen dieser ”ftentlichen Proxies aus ui stellen Sie ihn in 
Ihrem Browser als Proxy ein (beispielswei. unter
,,Bearbeiten->Einstellung->Erweitert->Proxies"  bei  Netscal 4++)
und schon surfen Sie genau wie ein Hacker anonym im Netz.

Aber leider sind die Proxies oftmals sehr langsam oder falle ganz aus, 
weshalb man immer eine Ausweichm”glichkeit habe sollte!


Achtung beim Download!

Niemals  Software  oder  Updates  aus  einer  nic~ vertrauensw�rdigen 
Quelle herunterladen. Problematisch wir diese Aussage, wenn man sich 
bewuát macht, daá alle groáe und kleinen Anbieter aus kostengr�nden mit 
(transparenter sogenannten PROXY-CACHES arbeiten, deren Anwesenhe 
gar nicht mehr zu bemerken ist (CISCO SILENT PROX~ SQUID im 
,,silent mode"). Selbst FTP-Server, die h„ufig benut~ werden, um Share- 
oder Freeware zum Download anzubieter arbeiten oft mit 
zwischengeschalteten Proxies.


Da solch ein PROXY nur frei zug„ngliche Daten aus dem Internet zwischenspeichert, legen die 
Systemoperatoren auch keinen groáen Wert auf die Absicherung dieses Servers gegen Angreifer. 
Abgesehen davon ist ein solcher PROXY-Server auch nicht durch eine Firewall zu sichern, da 
einfach zu viele Verbindungen zu kontrollieren w„ren. Die Performance w�rde arg leiden. 
Angreifer machen sich diese
Tatsache dadurch zunutze, indem sie die PROXY-CACHES mit manipulierten 
Treibern/Updates/Software f�ttern und somit indirekt   f�r   eine   vorz�gliche   Verbreitung   
Ihrer Netbus/BackOrifice o.”. trojanischer Pferde sorgen!


Denial of Service - Attacken
Oder:	Wie legen Hacker ganze Server lahm

Angriffe auf den TCP/IP-Stack sind gegenw„rtig die Ursache von immensen Ausf„llen bei ISPs 
und innerhalb des Netzwerkes von Unternehmen. Verantworlich sind hierbei h„ufig mangelhafte 
TCP/IP-Stacks in Servern und Routern, die empfindlich  auf  defekte  Netzwerkkarten  und  
speziell konstruierte TCP/IP-Pakete reagieren. Diese Pakete werden von Programmen erzeugt, 
die im Internet im Quellcode und als Windows-Programm ver”ffentlicht werden.  Diese werden 
exploits genannt und sind im BUGTRAQ Archiv zu finden
(http: //www.geek-girl.corn)

Viele dieser h�bschen Windows-Applikationen legen InternetServer lahm und greifen arglose 
Surfer an. Insbesondere Microsoft hat sich hierbei nicht mit Ruhm bekleckert, die Folgen waren  
allerorts  zu  sp�ren:  Computerwoche,  SWF3, Microsoft,Netscape... -Internet-Server und viele 
andere waren wochenlang ¯offlme®, hunderttausende von Surfern werden mit DoS-Angriffen 
belegt, die ein Einfrieren vor allem von Windows 95/98/NT Workstations bewirken.

Microsoft z.B. sperrte seinerzeit alle direkten Zugriffe auf deren Internet-Server und lieá �ber 
mehrere Wochen nur Pakete zu, die �ber bekannte PROXY's bei ISP's geroutet wurden.

PROXY's oder CACHING PROXY's nutzen zwangsl„ufig ihren eigenen TCPIIP-Stack f�r ein- 
und ausgehende Pakete. Pakete von Angreifern �ber PROXY's muáten somit scheitern. Eine 
vollst„ndige Liste der unter den Namen ,,teardrop", ,,land"... bekanntgewordenen Angriffe findet 
sich leicht durch eine entsprechende Recherche mit einer guten Suchmaschine.

Um einen solchen Angriff selber zu entwickeln bzw. zu programmieren, m�ssen Sie zun„chst 
ROOT Zugriff auf einen UNIX Server haben. Programmbeispiele finden sich unter
http: //www.rootshell .com.
Sie sollten auáerdem etwas Ahnung von der sogenannten RAW Sockets Programmierung haben. 
Unter C ist das eher kompliziert und frustrierend, aber PERL bietet dazu ein prima Modul, 
welches sich Net::RawlP nennt. Leider haben die meisten Webspace-provider, bei denen man 
einen Unix~elnet-Zugang bekommen kann, dieses Modul aus verst„ndlichen gr�nden NICHT 
installiert. Sie finden es beispielsweise unter http://quake.skif.net/RawIP/   oder  auf  Sergey Kolchev's     
Homepage     in     der     Ukraine, http://www.ic.a1.1g.ua/~ksv/. Dort befinden sich auch viele Source-
Code beispiele (Perl).


Falls Sie hierzu irgendwelche Fragen haben, es gibt auch eine ausf�hrliche FAQ dazu, wo alle 
Anf„ngerfragen erl„utert werden, darunter auch diejenige, wie ich mit diesem Toolkit gespoofte 
IP-Pakete erzeuge, bei denen die Absendeadresse gef„lscht ist. Aber Vorsicht, viele Provider 
k”nnen Spoofing bestimmter 1 P-Nummernbereiche erkennen, andere leider nicht....

Einige Suchmaschinen, wie z.B. Yahoo und HOTBOT haben net::rawip mittlerweile zensiert und 
liefern keine brauchbaren Ergebnisse.
Die  Suchmaschine  http: //www.northernlight.com/ liefert jedoch zu diesem Thema einige hundert 
Informationen.

Bekannte Attacken heiáen beispielsweise ,,Ping of Death", ,,Land-Attack". Eine Suchmaschinen-
Recherche zu diesen Themen wird Ihnen schnell entsprechende Source-Codes oder sogar 
komplette,  kinderleicht zu  bedienende Windows-Applikationen liefern!

Wie durchschlagend diese Angriffe sind, wird daran deutlich, daá Microsoft in den 
Beschreibungen der Service Packs diese Problematik erst garnicht dokumentiert, sondern Patches 
immer heimlich mitliefert. Wer Microsoft NT Server in Unternehmen einsetzt, der hat leider auf 
das falsche Pferd gesetzt. Microsoft kann bis heut noch keinen vern�nftigen TCP/IP Stack liefern, 
was auch die riesigen Ausf„lle bei Internet-Providern mit NTServern zeigen. Mittels der 
Visualbasic-Macros in OfficeAnwendungen wie Winword kann die alte anf„llige Winsock2.1 
sogar direkt von einem Word-Makro angesprochen werden und so DoS-Attacken aus einem 
Winword-Dokument heraus an das firmeneigene Intranet senden!

Die Gartner GROUP hat signifikante Unterschiede bei den
Ausfallzeiten   der   groáen   Betriebssystem-Plattformen
festgestellt, siehe INFORMATIONWEEK 17/18 vom 19. August
1999, Seite 40:
	A51400	5.3 Stunden/Jahr
	S/390	8.9 Stunden/Jahr
	UNIX	23.6 Stunden/Jahr
	Windows NT	224.5 Stunden/Jahr
Denial Of Service-Attacken im Detail

OOB-Angrift (auch ,,Nukeœœ genannt)
Ansatzpunkt f�r den QOB-Angrift war eine fehlerhafte Implementierung des 
NetBIOS-Treibers von Micro$oft. Sobald �ber Port 139 ein Datenpaket eintraf, 
welches nicht NetBIOSkonform war, st�rzte der Rechner ab.
Das Tool WinNuke, welches man als C-Source-Code f�r Unix-Betriebssysteme 
noch h„ufig im Netz vorfindet, war das erste Nuking-Tool, um Windows95INT-
User abzuschieáen.
Schlieálich  fanden  sich  auch  Programmierer,  die  ein praktisches Windows-
Progr„mmchen daraus machten - wie beispielsweise BitchSlap.

XI
	~	127.0.0.11
	s~	~	______-JOow


Windows95 und NT sind erst nach Installation der letzten Service-Packs gegen 
OOB-Attacken Resistent geworden. Ob Ihr System sicher ist, k”nnen Sie 
ausprobieren, indem Sie einfach Ihre Localhost-Adresse 127.0.0.1 benutzen. St�rzt 
Ihre Internet-Verbindung oder gar Ihr ganzer Rechner ab, haben Sie ein Problem...


Land-Angriff
Land ist ein schwerer Angriff der 1997 entdeckt wurde. Bei
einem Land-Angriff wird ein TCPIIP-SYN-Paket mit identischer
Absender- und Empf„ngeradresse an den lahmzulegenden
Host gesendet.

Es die neueste der hier beschriebenen DoS-Attacken. Einzelne an das Netz 
angeschlossene Rechner waren hiervon jedoch nicht so sehr betroffen wie die 
sogenannten Router, welche an den Knotenpunkten der 1 nternet-Backbones 
(Hauptschlagadern

des lnternets) stehen. Hier kommen meist Router der Firma Cisco zum Einsatz, die 1997 leider 
nocht nicht gegen eine SYN-Aflacke wie LAND abgesichert waren. Folge war, daá 1997 durch 
Land-Angriffe ganze Netzwerke nicht mehr erreichbar waren und Router zum Totalabsturz 
gebracht wurden.

Um einen einzelnen befeindeten Rechner lahmzulegen ist Land also nicht die DoS-Attacke der 
Wahl, da man sich hier im wahrsten Sinne des Wortes eine eigene Grube graben kann. Denn 
wenn man die Land-Attacke lossendet und dadurch gerade der Router des eigenen Providers 
seinen Dienst quittiert,  hat man sich prima unfreiwillig vom  Internet verabschiedet...



Ping Ot Death
Pakete des TCP/IP-Protokolls d�rfen maximal 216 Bytes (also 64  KB)  groá  sein.Gr”áere  
Datenpakete  werden  also entsprechend segmentiert und beim  Empf„nger wieder 
zusammengesetzt. Die Zusammensetzung benutzt dabei einen Offset, der mit jedem P„ckchen 
mitgeschickt wird und bestimmt, wo es hingeh”rt. Beim Ping of Death wird dem letzten Paket ein 
Offset gegeben, der dieses gr”áer als 64 KB macht.   Dadurch   wird   auf   Empf„ngerseite   beim 
Zusammensetzen der Pakete ein Buffer-Overflow erzeugt, der die lnternetverbindung oder den 
ganzen Rechner abst�rzen l„át. Die Windows-Implementierung des TCP/IP-Protokolls (im 
uns„glichen  WI NSOCK. DLL  bzw.  WSOCK32. DLL)  war nat�rlich nicht auf soetwas 
vorbereitet, weshalb es auch immer noch bei Windows95-Rechner funktioniert...
Ein einfach zu bedienendes Tool f�r Windows-Benutzer gibt es auch f�r den Ping of Death: 
Biohazard POD
Auch hier k”nnen Sie wieder mit Ihrer Localhost-Adresse 127.0.0.1 probieren, ob Ihr System 
gegen den POD gesch�tzt ist.

Kostenlos Surfen
Wirklich verboten und illegal ist im Moment die sogenante ,,Faker"-Technik, bei der man sich 
mit ,,gefakten~ (falschen) Personen-Angaben  bei  einem  lnternet-by-Call-Anbieter registriert 
und das Passwort dann auch noch ”ffentlich auf sogenannten ,,Fake-Sites" preisgibt! Eine Seite 
zu diesem Thema findet sich leicht, indem man einmal das Keyword ,,fake" sowie ein oder zwei 
bekannte lnternet-By-Call-Anbieter als weitere Stichworte in eine Suchmaschine eingibt (viag, 
etc.). Es gibt sogar Registrierungs-Generatoren (beispielsweise f�r Viag-Interkom) die beliebig 
viele g�ltige Registrierungen generieren. Da die meisten lnternet-by-Call-Anbieter dann eine 
eigene Rechnung schicken und nicht �ber das Telekom-lnkasso abrechnen, landen die Geb�hren 
als Rechnung im Briefkasten desjenigen, auf den der Account angemeldet wurde - und den gibt 
es oftmals nicht. Und solange diese Rechnung noch nicht zur�ckkommt, ist der Zugang offen und 
es wird kostenlos gesurtt.

Aber zum Gl�ck sind die Provider ja nicht so d„mlich wie manche Hacker, die glauben, nun 
kostenlos surfen zu k”nnen. Oft ist es so, daá der Zugang, sobald mehr als eine person ihn 
gleichzeitig benutzt, zu einem teureren Minutenpreis �ber das

Telekom-lnkasso abgerechnet wird! Und dann landen doch die Geb�hren auf der Rechnung! 
Denn man sollte immer bedenken,  daá die  Provider die Telefonnummern  der eingew„hlten 
Benutzer loggen und somit (solange man nicht von einem ”ffentlichen Telefon aus surf) immer 
Bescheid wissen, wer da auf die kosten eines anderen oder auf die Kosten eines nicht 
existierenden gefakten Benutzers surft! Denn die Nummer wird ja heute immer �bertragen - auch 
bei analogen Anschl�ssen! Das deutsche Telefonnetz ist bereits komplett digitalisiert. Und selbst 
wer sich sicher glaubt, weil er die CLIP bei der Telekom hat ausschalten lassen (wird dann nicht 
mehr angezeigt>, den muá ich leider entt„uschen. Jeder, der schon einmal von einem anonymen 
Anrufer bel„stigt wurde und eine Fangschaltung beantragt hat, weiá wie einfach das ist! F�r ca. 
20 DM pro Woche liefert Ihnen die Telekom die Telefonnummern ALLER Anrufenden!

Hier surfen Sie LEGAL (!) kostenlos, es fallen lediglich Telefon-geb�hren an!

Conradkom (www.conradkom.de)
Hier ist die erste Stunde im Monat sogar kostenlos, es fallen noch nicht einmal Telefongeb�hren an - also eine 
Stunde im Monat absolut
kostenlos und geb�hrenfrei surfen bei Conradkom!

mcl. Telefongeb�hren, Grundgeb�hr: 0,00 DM, Freie Stunden: 1,00,
Einwahlknoten: Einheitsnummer, Probezugang: keiner,
Anmeldegeb�hr: 0,00 DM, Eigene Homepage: 2 MB, Email-Adressen: 1, Abrechnung erfolgt mit VIAG Interkom 
�ber Telekom. 60 Sekunden-Takt.

Mobilcom (www.01 01 9freenet.de)
Bezeichnet sich selber als ,,kostenlosen Internetzugang"

Ind. Telefongeb�hren, Grundgeb�hr: 0,00 DM, Freie Stunden: 0,00,
Einwahlknoten: Einheitsnummer, Probezugang: keiner, Anmeldegeb�hr:
0,00 DM, Eigene Homepage: 0 MB, Email-Adressen: 1, Abrechnung erfolgt �ber Telekom, Minutentakt (bei 
Preselection sekundengenau).

Germanynet (www.germanynet.de)




Bei germany.net haben Sie die geniale M”glichkeit, kostenlos (zzgl. Telekom-Ortstarif> ins Internet zu gelangen. 
Mittlerweile ist das Angebot nicht mehr nur auf Deutsche Websites beschr„nkt, sondern erlaubt den 
ungeingeschr„nkten Zugriff auf das gesamte World Wide Web. Die kostenlosen Surf-Trips finanzieren sich durch 
Werbung, die w„hrend des Surfens eingeblendet wird.

Grundgeb�hr:	0,00 DM, Freie Stunden: 0, Einwahlknoten: 34,
Probezugang:	unbegrenzt (kostenlos>, Anmeldegeb�hr: 0,00 DM, Eigene
Homepage:	2 MB, Email-Adressen: 1, Finanzierung erfolgt �ber
Werbeeinblendungen. (Internetzugang nur �ber Proxy-Server).

AOL und Compuserve (www.aol.com und www.compuserve.com) Viele Provider bieten einen zeitlich 
begrenzten Testzugang f�r Interessierte. Nutzen Sie das kostenlose Angebot, und machen Sie sich ein eigenes Bild 
von den Leistungen. AOL bietet die Zugangssoftware auf CD-ROM oder Diskette inklusive Paáwort zum 
kostenlosen Zugang f�r 50 Stunden. Man erh„lt diese CD fast in jedem Gomputermagazin als Zugabe. Compuserve 
erm”glicht Ihnen einen vollen geb�hrenfreien Monat und stellt Ihnen zudem die Software auf CD-ROM oder 
Diskette kostenlos zur Verf�gung.

Stand:	1.5.99 - Angaben jedoch ohne Gew„hr!


Wie Hacker kostenlos PayTV sehen

Sender wie Premiere verschl�sseln bereits seit einiger Zeit Ihr Angebot, so daá es f�r den normalen 
Femsehbesitzer zwar empfangbar ist, jedoch das Bild verzerrt ist.

Zur Entschl�sselung ben”tigt man einen Decoder, den die Sender f�r eine monatliche Geb�hr zur Verf�gung stellen. 
Das gute an diesen Sendern ist, daá Sie werbefrei senden und aktuelle Spielfilme bereits kurze Zeit nach 
Erscheinen auf Video zeigen.

Die Verschl�sselung macht es den Anbietern m”glich, die Zielgruppe auf den einzelnen Zuschauer genau 
zu bestimmen und so die Filmlizenzen und Serienabos zu g�nstigen Preisen


einkaufen zu k”nnen, da keine landesweite oder sogar europaweite Ausstrahlungslizenz erworben 
werden muá.

Antisky war ein erster Softwaredecoder und wurde von Marcus Kuhn f�r das Decodieren des 
englischen Senders SkY entwickelt. Er hatte erkannt, dass bei der Codierung lediglich Zeilen 
untereinander vertauscht wurden. Dadurch, dass sich benachbarte Zeilen immer sehr „nhuch sind, 
konnte sein Programm benachbarte Zeilen wieder korrekt zuordnen.

Nat�rlich wird zum Empfang neben der Decodersoftware auch eine TV-karte ben”tigt. Dabei ist 
darauf zu achten, dass diese einen weit verbreiteten Chip wie den BT848 oder BT878 besitzt, da 
diese Chips von den meisten Decoder-Programmen unterst�tzt werden.

Zum Decoderprogramm selber geh”rt auch die eigentliche Entschl�sselungsdatei, die oft 
,,key.txV' benannt ist. Diese enth„lt das Schema, nach dem die Zeilen getauscht werden m�ssen.

Diese Datei kann man im Internet erhalten, denn sie wird oft aus wettbewerbsgr�nden nicht 
mitgeliefert. Manche Decoder besitzen auch eine Funktion, um diesen Schl�ssel selber zu 
berechnen.

Deutsche sender wie Premiere (nicht das  neue digitale Premiere World) benutzen das Verfahren 
,,Nagravision®. Dieses Verfahren permutiert den Schl�ssel st„ndig. Die ben”tigten Informationen 
enth„lt der Decoder alle 255 Halbbilder digital und verschl�sselt in der Austastl�cke (nicht 
sichtbarer Bereich des Bildes - oben �ber dem sichtbaren Bild). Pro Halbbild gibt es schlieálich 
215 = 32768 verschiedene M”glichkeiten der Zeilen-Permutation.

Wenn man nun aber alle Zeilen miteinander vergleicht, kann man „hnliche Zeilen finden und 
unter der Annahme, dass „hnliche Zeilen zueinander geh”ren, diese wieder in die richtige

Reihenfolge bringen. Alle Zeilen komplett zu vergleichen w�rde selbst einem Athlon-700 starkes 
Kopfzerbrechen bescheren, weshalb man nur stichprobenartig einzelne Punkte aus verschiedenen 
Zeilen vergleicht. Wieviele Stichproben gemacht werden, ist einstellbar und resultiert in der 
Qualit„t der Decodierung. Schlieálich wird aus den 32768 verschiedenen Permutationen die 
gew„hlt, die am ehesten zu dem Ergebnis der Stichproben paát. Diese Permuation wendet man 
dann auf das gesamte Bild an und erh„lt so ein komplett decodiertes Bild.

Es gibt auch Decoder (besonders f�r die VideoCrypt-Sender, die jedoch in Deutschland nicht 
angeboten werden), die durch Auswertung des Decoders oder Hacken des Alogirthmus 
entwickelt wurden. Diese sind jedoch absolut verboten und eine Anwendung ist strafbar. Das hat 
die folgenden Gr�nde:
?	Strafbares Aussp„hen von Daten
?	Verletzung des Urheberrechts
?	Gesetz  gegen  den  Unlauterem   Wettbewerb,  das Betriebsgeheimnisse sch�tzt

Noch gibt es in Deutschland einige Seiten, die sich ”ffentlich mit den Decodern des 
Zeilentauschverfahrens besch„ftigen, jedoch kann niemand sagen, wie lange diese Websites noch 
existieren werden.


Abh”ren und Modifizieren einer Mobilfunk-Mailbox

Dieser Hack-Trick ist so einfach, daá man schon fast nicht glauben mag, daá er tats„chlich 
funktioniert. Auch ich war zun„chst der Meinung, daá dies doch so nicht wahr sein kann. Aber 
wenn Sie es mal bei einigen Mailboxen ausprobiert haben und dann schlieálich eine Mailbox 
vorfinden, wo der Hack funktioniert, werden Sie Ihre Meinung �ber diesen Hack schnell „ndern.

Im Folgenden beschreibe ich, wie man bei einer D2-Mailbox vorgeht. F�r andere Netzbetreiber 
ist der Trick jedoch genauso anwendbar.

W„hlen  Sie  0172-55-XXXXXX  von  einem  normalen Telefonanschluá mit Tonwahl-
Unterst�tzung. Dabei ersetzen Sie XXXXXXX durch die Nummer des Anschlusses, den Sie 
hacken m”chten. Bei neueren D2-Anschl�ssen m�ssen Sie nat�rlich statt der 0172 eine 0173 
vorwegw„hlen.

Sie werden von der Mailbox begr�át und nun aufgefordert, das Mailbox-Kennwort einzugeben. 
Geben Sie nun 1,1,1,1 ein.

Aus Erfahrungswerten sch„tze ich die Erfolgsquote auf mindestens 25 Prozent. Die 1111 ist die 
vom Netzbetreiber voreingestellte PIN f�r die Mailbox. Solange der Besitzer diese nicht ge„ndert 
hat, k”nnen Sie mit der 1111 seine Mailbox abh”ren, Nachrichten l”schen und sogar die PIN 
„ndern, was dem Besitzer unm”glich macht, seine Mailbox abzuh”ren (er muá dann Kontakt mit 
dem Netzbetreiber aufnehmen). Wenn Sie eine bestimmte Mailbox abh”ren m”chten und die 
1111 partout nicht funktionieren m”chte, versuchen Sie andere einfach konstruierte Nummern, 
die man sich leicht merken kann: 2222,3333,1234,9876, 4711,0815... Oder wenn Sie die Person 
kennen probieren Sie das Geburtsdatum oder das Geburtsdatum der Freundin oder des Freundes. 
Sie haben je Anwahl 3 Versuche. Sind diese erfolglos, legen Sie einfach auf


und w„hlen Sie die Mailbox erneut an - Sie haben sofort wieder 3 weitere Versuche.


Anonyme Emails versenden oder
Wie Mann Emails ohne Email-Programm verschickt

Um eine Mau anonym oder ohne Mailprogramm verschicken zu k”nnen, benutzt man das SMTP 
Protokoll, welches in der RFC 821 definiert ist.

Wir w„hlen nun einen frei zug„nglichen Mailserver (damit will ich sagen, daá beispielsweise die 
T-Online Mailserver (mailto.btx.dtag.de etc.> nur von einem T-Online-Zugnag aus nutzbar sind. 
Es gibt aber viele sogenannte ”ffentliche Relay-Server, die man f�r das folgende Experiment 
benutzen kann.

Viele Firmen-Mailserver sind nicht hinreichend gesch�tzt und akzeptieren daher Verbindungen 
von jedem beliebigen Internet-Zugang, also von jeder beliebigen IP-Adresse aus. Einfach mal 
mail.XXX.de ausprobieren, wobei XXX durch bekanntere
Firmennamen zu ersetzen ist. Sie werden schnell einen nicht gesch�tzten Mail-Server finden!

Wenn Sie so einen gefunden haben, hat das auáerdem den Vorteil, daá Sie diesen Server in 
Netscape oder Outlook als Postausgangsserver einstellen k”nnen und diesen dann von jedem 
beliebigen lnternet~by-Call-Provider benutzen k”nnen und somit nicht jedesmal einen anderen 
Server konfigurieren m�ssen bzw. mehrere Profile anlegen m�ssen.

Hier das Beispiel:
START -> Ausf�hren -> Eingeben: Telnet mail.XXX.de 25

Hierbei ist mail.XXX.de durch den von Ihnen gefundenen
”ffentlichen
Mail-Server zu ersetzen! Das SMTP-Protokoll l„uft also auf
PORT 25. Durch die Angabe einer Nummer hinter dem Host-


Namen signalisieren Sie TELNET, daá Sie auf einem anderen als dem Standard-Telnet-
Port konnektieren m”chten. Um zu sehen, was eingegeben wird, unter ,,Einstellungen" von 
Telnet das lokale Echo einschalten.

Hier eine Beispiel-Session:
220 squid.dvs.org ESMTP server (Post.Office
v3.5.3 release 223 ID# 127-
60479U3000L8000S0V35) ready Wed, 24 Nov 1999
	15:34:42	+0100
help
214-This SMTP server is a part of the
post. office
214-E-mail system.  For information about
214-post.office, please see
http: //w~~~w. software. com
214-
214-	Supported commands:
214-
214-	EHLO     HELO	MAIL	RCPT
DATA
214-	VRFY     RSFT	NOOP	QUIT
214-
214-      SMTP Extensions		supported	through
EHLO:
214-
	214-	ETRN	EXPN	HELP	SIZE
214-
214-For more information about a listed topic,
use ,,HELP  ii
214 Please report mail-related problems to
Postmaster at this site.

MAIL FROM:~wv~alphaflight.com>
250 Sender  Ok

RCPT TO:
250 Recipient  Ok

DATA
354 Ok Send data ending with .

Hallo, das ist meine kleine anonyme (?) Nachricht an mich selber.
Auch sehr praktisch, um eine Email zu verschicken, wenn kein Mail-Programm zur Hand ist...

Viel Spass.'


250 Message received:
19991124143526 AAA17545@squid.dvs .org@ {62 .157.6
1.235]

quit
221 squid.dvs.org ESMTP server dosing connection


Der Mailserver antwortet auf jede Eingabe (auáer wenn die
Zeilen der Nachricht eingegeben werden> mit einer Status-
Antwort (dreistellige Zahl plus Fehlermeldung/Best„tigung).

Wichtig sind also die Kommandos ,,MAIL FROM:" wobei hiernach die Absender-Email in   
eingeschlossen folgen muá. Das tolle: Hier kann man irgendetwas angeben (z.B. someone@ 
somewhere.org).

,,RCPT TO:" gibt entsprechend die Email-Adresse des Empf„ngers dieser Nachricht an.

Auf das Kommando ,,DATA" schlieálich folgt die Eingabe der eigentlichen Nachricht. Wenn sie 
fertig ist, einfach eine Zeile eingeben, die nur einen Punk enth„lt.


Exkurs:	Wie erfahre ich einen zu einer Domain geh”renden Mai 1-Server?

Benutzen   Sie  dazu   das   Programm  ,,Net.Demon" (http:ilnetdemon.sim~lenet.com) und 
w„hlen Sie die Option ,,DNS-Lookup". Stellen Sie beispielsweise den Nameserver der Deutschen   
Domainverwaltung   DENIC   ein   (Server:
DNS. DEN lC. DE). Zus„tzlich die Optionen ,,Get authoritative Answer" und ,,Recursion" 
aktivieren. Sodann kann unter Domain" eine zu pr�fende www-Domain angegeben werden 
,(,beispielsweise ,,colossus.net"). Die Nameserver-Anfrage liefert nun neben den Nameservern 
dieser Domain auch die eingetragenen Mailserver, in diesem Fall mail.colossus.net.


Aufhebung der zeitlichen Limits von Demo-Software

Heute ist es �blich, daá Softwarefirmen neue Produkte als Demoversion zum Download im 
Internet anbieten. Diese Demoversionen besitzen oft bis auf eine zeitliche Limitierung vollen 
Funktionsumfang. Im Folgenden beschreibe ich, wie diese zeitliche Limitierung entfernt werden 
kann.
Das Programm ,,Date Cracker" kann einer Demo-Version ein falsches Datum vort„uschen.

Beispiel:
Ihr zu ,,crackendes" Programm ist leider bereits am 31.12.1999 abgelaufen.

?	Stellen Sie die Systemzeit auf ein Datum vor dem Testzeitraum - z.B. 1.10.1999 
(Doppelolicken auf die Systemzeit unten in der Taskbar von Windows) und deinstallieren Sie 
die Demo-Software
?	Installieren Sie die Demo-Software erneut. Sie sollte nun korrekt laufen.
?	Suchen Sie im Programmverzeichnis (in weiches Sie die Software installiert haben) nach der 
eigentlichen Programm-Datei (z.B. PSP.EXE) und starten Sie dann den DateCracker.
?	W„hlen Sie als ,,Program To Run" die eben gesuchte EXE-Datei Ihrer Demo-Anwendung und 
stellen Sie das Datum ein, mit der die Anwendung funktioniert (1.10.1999).
?	W„hlen Sie nun ,,Write".

Sie k”nnen nun Date-Cracker schlieáen und das Datum wieder richtig stellen. Sobald Sie nun die 
gecrackte Anwendung starten, wird vorher das Datum immer automatisch auf das alte Datum 
gestellt (1.10.1999) und bei Beenden der Anwendung wieder zur�ckgestellt.




Rechtliche Betrachtung der Hacker-Aktivit„ten
Hier m”chte ich anhand der eingangs bereits
zitierten
Paragraphen einige Beispiele f�r Straftaten von
Hackern
nennen:

Computerbetrug
Der Paragraph 236 des StgB (Strafgesetzbuch) regelt den
Bereich des Computerbetrugs. Auf Computerbetrug steht laut
gesetz in schweren F„llen bis zu 10 Jahre Haft oder hohe
Geldstrafen.
Hierzu z„hlt z.B. unbefugte Verwendung von Daten, unrichtige
Gestaltung eines Programms, etc. Als Beispiel k”nnte hier die

Manipulation eines Geldautomaten oder Gl�ckspielger„ts genannt werden.


Computersabotage
Paragraph 303b StgB nennt bis zu 5 Jahre Haft f�r Computersabotage. Dazu z„hlen das 
Zerst”ren, Besch„digen und die Ver„nderung einer Datenverarbeitungsanlage. Ein wichtiges 
Beispiel sind hier die Viren. In USA wurden bereits Virenprogrammierer zu langen Haftstrafen 
verurteilt, wie erst k�rzlich der Programmierer des Melissa-Virus.


Computerspionage
Bis zu 3 Jahre haft setzt es auf Computerspionage. Dieser Paragraph d�rfte insbesondere die 
klassichen Hacks betreffen, bei denen sich mittels verschiedener Techniken Passw”rter zu 
gesch�tzten Informationen erhackt werden.


Blueboxing

Blueboxing  z„hlt  zu  den  Phreaker-Techniken,  die  es erm”glichen, kostenlos zu telefonieren. 
Leider sind fast alle der im Internet zu findenden Boxing-Technoligien (benannt mit 
verschiedenen Farben) einschlieálich des hier exemplarisch beschriebenen Blueboxing heute 
nicht mehr anwendbar, da wir in  Deutschland  ein  mittlerweile  zu  100%  digitalisiertes 
Telefonnetz besitzen. Die Boxing-Techniken wurden indes f�r das analoge Telefonnetz 
entwickelt.

Kernpunkt des Blueboxing ist die Tatsache, daá man mit den
Frequenzen 2400 hz sowie 2600 hz in einem Telefonnetz mit
sogenannten  C5-Vermittlungsstellen  (Abk�rzung  f�r  den
Standard CCITT5) Gespr„che unterbrechen kann.

Bei der h„ufigsten Blueboxing-Anwendung wurde versucht, eine kostenlose Verbindung zu den 
mit neuesten Raubkopien
ausgestatten  US-Mailboxen  wie  Cesars  Palace  etc. einzurichten.
Der Trick war einfach:
Der Blueboxer in Deutschland w„hlte eine US-Amerikanische Telefonnummer an, die sofort 
wieder auflegte. Aufgrund der Relais-Tr„gheit in den alten transkontinentalen Telefonnetzen 
dauerte es oft mehrere Sekunden,  bis die deutsche Vermittlungsstelle das Auflegen auf 
amerikanischer Seite registrierte und das Besetztzeichen zu h”ren war. In diesem kurzen 
Zeitfenster muáte der Phreaker nun einen C5-2400 hz Ton  senden  (sogenannter  Size-Ton),  
welcher  dem amerikanischen Vermittlungscomputer das korrekte Trennen der Verbindung von 
deutscher Seite mitteilte. Der Ton kam aber vom Phreaker und nicht von der deutschen 
Vermittlung und daher war die Leitung auf deutscher Seite noch offen. Nun konnte der Phreaker 
munter eine neue Nummer (diesmal die der Warez-Mailbox) w„hlen und kostenlos stundenlange 
Downloads und Upload durchf�hren.

Mali-Order Betrug

Dieser einfache Titel benennt ein Verfahren, mit dem Hacker in den 80er und auch 90er Jahren 
noch international agierenden Versand-Unternehmen immense Sch„den zuf�gten. Auch heute 
funktioniert der Mau-Order Betrug teilweise noch problemlos.

Dazu ben”tigen die Hacker die kreditkartennummer einer g�ltigen kreditkarte sowie das 
G�ltigkeitsdatum. Das k”nnte man ja auch einfach mit einem Creditcard-Generator erledigen
- jedoch ben”tigt der T„ter beim Mau-Order Betrug auch den korrekten   Namen   des   
karteninhabers,   da   die Versandunternehmen im Gegensatz zu Sex-Sites im Internet die 
Kartendaten pr�fen und beim kartenunternehmen den Karteninhaber abfragen.  Denn  die  
Versandunternehmen m�ssen nicht in wenigen Sekunden entscheiden (wie bei einer 
Onlinepr�fung eines Internet-Sex-Anbieters) sondern haben vor

dem Versand in der Regel etwa einen ganzen Tag zeit, die Daten zu pr�fen.

Den Namen und die zugeh”rige Kartennummer zu finden ist jedoch teilweise erschreckend 
einfach und der Autor selber ertappte sich bereits schon einmal dabei, beinahe seine 
Karteninformation preis gegeben zu haben:

Zum Beispiel beim Tanken erh„lt man nach der Zahlung einen Beleg   �ber  die   Kartenzahlung   
(Durchschrift  des unterschriebenen   Kreditkarten-Belastungsbelegs).   Darauf befindet sich stets 
die 16-Stellige VISNMASTERCARD/AMEXNummer und das G�ltigkeitsdatum. Auch der 
Name wird oft mit auf den Beleg gedruckt - wenn nicht, so findet man auf dem Beleg immer 
noch die Unterschrift des Karteninhabers.

Diese Belege werden leider oft gedankenlos weggeschmissen, denn man denkt sich, man kann 
die Benzinkosten sowieso nicht steuerlich absetzen - was soll ich also mit dem Beleg...
Ein Mail-Order-Betr�ger braucht sich nun also nur die M�lleimer einer Tankstelle genauer 
anzusehen und wird sicher nicht nur einen solchen Beleg finden!

Oftmals haben solche Betr�ger auch einen Komplizen, der bei der Tankstelle arbeitet und den 
ganzen Tag fleiáig Belege abschreibt oder gar unter der Theke die Karte ein zweites Mal durch 
einen Magnetstreifen-Leser zieht.

Nachdem gen�gend Kartenmaterial gesammelt wurde, bestellt der  Betr�ger  nun  bei  
ausl„ndischen  Versandfirmen entsprechend der Belastungsgrenze der Karte (Kartenlimit). Das 
Kartenlimit ermittelt der Betr�ger durch einen kurzen Anruf bei der dearing-Zentrale des 
jeweiligen Kartenuntemehmens. Hierbei gibt er sich als Mitarbeiter einer grӇeren Firma aus 
(z.B.  Automvermietung)  und  teilt  dem  Mitarbeiter der Kartenfirma mit, er habe einen Kunden, 
der ein Auto mieten m”chte und er m”chte nun wissen, wie hoch das Limit der

Karte ist, damit er festellen kann, ob das Limit reicht, um die Kaution per Karte zu zahlen.

Hat er nun das Limit erfragt, so kann die Karte bis auf die letzte Mark benutzt werden, um Waren 
zu bestellen. Vorzugsweise bestellen die Mail-Order-Betr�ger Speicher-Module, CPUs oder 
„hnliche Ware. Wichtig ist nur, daá die Ware klein aber dennoch  teuer  ist,  sich  gut  hehlen  
l„át  und  keine Seriennummern besitzt. So hat er gr”áte Chancen, die Waren weiterzuverkaufen.

Der kritische Punkt des Mail-Order-Betruges ist jedoch die
Lieferadresse.   Denn   diese   Betrugsform   ist   den
Ermittlungsbeamten l„ngst bekannt und daher w„re es vom
Betr�ger „uáerst d„mlich, sich die Ware an die eigene Adresse
liefern zu lassen. Dadurch w„re selbst im Nachhinein wenn der
Kreditkartenmiábrauch dann eines Tages durch die unerlaubte
Abbuchung entdeckt wir, die Identit„t des T„ters erkennbar.
Stattdessen  werden  hier  verschiedene  Methoden  mit
unterschiedlicher Effektivit„t eingesetzt, um eine lnflagrantiVerhaftung zu verhindern.

Unbewohntes Haus
Der T„ter sucht ein unbewohntes Haus und l„át die Ware
dorthin liefern. Wird schwierig, wenn die Tat bereits vor
Lieferung aufgedeckt wird und die Lieferung von einem
Polizeibeamten begleitet wird.

Lieferung postlagernd
Der T„ter l„át die Ware postlagernd zu UPS, DHL oder gar zur
guten alten Deutschen Post AG liefern. Dort hat er einen
Mittelsmann, der Mitarbeiter der jeweiligen Firma ist und den
Betr�ger informiert, wenn die Ware da ist und scheinbar kein
Polizeibeamter die Lieferung begleitet.

Pr�fung vor Abholung
Wirkliche Profis des Mail-Order-Betrugs checken, bevor sie
Ware abholen, ob sie sich nicht daran die Finger verbrennen


k”nnen. Dazu rufen Sie wiederum das dearing-Zentrale der Kreditkarten-Firma an und fragen 
wiederum nach einer Deckung f�r irgendeine Bestellung. Wenn der Betrug bereits aufgedeckt 
wurde, ist die Karte l„ngst gesperrt und so erf„hrt der Betr�ger, wie heiá seine Ware ist und l„át 
sie bei einer positiven Antwort einfach am Postlagerungsort liegen, ohne sie abzuholen.


Kostenlos telefonieren mit der T-Card
Bereits 1994 brachte die Telekom eine eigene Calling Card genannt ,,T-Card" heraus. Sie war in 
mehreren Variationen, z.B. mit 25 DM Guthaben, erh„ltlich. Noch im letzten Jahr wurde in 
Diskussionsforen und 1 PC-Kan„len offen dar�ber gesprochen, daá es mit der 25 DM-Variante 
der T-Card m”glich w„re, kostenlos zu telefonieren (ohne die Karte zu manipulieren).
Dieser Trick beruht darauf, daá die Telekom hier einen besonderen Service eingerichtet hat, 
welcher der Telekom eigentlich h”here Gewinne bringen sollte. Statt dessen wurde hierdurch 
aber eine Sicherheitsl�cke geschaffen...

Wenn das Guthaben der Karte n„mlich w„hrend eines Gespr„chs auf unter 48 Pf. f„llt, wird der 
Angerufene darauf hingewiesen, daá sein Gespr„chspartner bald kein Guthaben mehr auf seiner 
Karte haben wird und er die M”glichkeit hat, das Gespr„ch vom Anrufer dann auf seine Kosten 
(als sogenanntes R-Gespr„ch) weiterzuf�hren.

Insoweit wird nun sicherlich noch nicht ganz klar, wie hier kostenlos telefoniert werden soll. 
Wenn man jedoch daran denkt, daá es auch Telefonzellen gibt, an denen man angerufen werden 
kann, wird schnell klar, wo die L�cke entstanden ist:
Der T-Card-lnhaber ruft einen Partner an einer Telefonzelle an und telefoniert mit ihm solange, 
bis nur noch 48 Pf. Guthaben auf  der  T-Card  sind.  Dann  nimmt  der  angerufene 
Gespr„chspartner an der anderen Telefonzelle die M”glichkeit wahr, das Gespr„ch bei Ablauf des 
Guthabens als R-Gespr„ch


weiterzuf�hren. Dumm nur, daá die Telekom Ihrer eigenen Telefonzelle dann 
sp„ter keine Rechnung zuschicken kann. Obwohl dies wahrscheinlich bei der 
Telekom schon einmal passiert ist, daá einer Telefonzelle eine Rechnung geschickt 
wurde oder sogar der Gerichtsvollzieher...



Wichtige Links

Weiterf�hrende Informationen finden sich unter anderem hier:

http: //w~~~w. false.com/security http: //www. insecurity.org/nmap http: / /www. secunet.com http: / 
/geek-girl . com/bugtraq http: / /rootshell .com http: / /rootshell . com/doc 
http://www.sparc.com/charles/security.html hššp: //command.com. inter.net/~sod/ http: 
//www.phrack.com http: //www.cs.purdue.edu/coas�/ http: //www.pilot.net/security-guide.html http: / 
/underground. org/ http: //www.lOpht.com http: / /www. infonexus . com/ deamon9 http: //www.cert.org
http: //www.cert.dfn.de ftp: //ftp.b}tb.pp.se/pub/cracking


Hacker-Glossar

O-day-warez
Als O-day-warez wird Software bezeichnet, die an diesem Tag auf den Server zum 
Downloaden gespielt wurde. (Meist auch am selben Tag gehackt!)





    

    
Doobee R. Tzeck


Last modified: Wed Oct 11 12:35:34 CEST 2000