Gefahr im Verzug

Versuche, in Computersysteme einzubrechen oder sie zu beschädigen, haben eine lange Tradition, die bis in die 70er Jahre zurückreicht. Angreifer und Verteidiger spielen ein Katz-und-Mausspiel, das nicht selten zu Gunsten der Angreifer ausgeht. Unrühmlich hervorgetan hat sich hier die Firma Microsoft, indem sie für teils hochbrisante Sicherheitslücken über mehrere Wochen oder gar Jahre [1] keine Patches bereitstellte und damit Angreifern hunderttausendfach Tür und Tor öffnete. Linux-Distributoren versorgen ihre Anwender nicht selten noch am gleichen Tag mit Bugfixes.

Das ist aber nur ein Grund, warum Windows deutlich häufiger das Ziel von Angriffen wird als beispielsweise Linux oder Mac OS. Der wohl wichtigste Grund ist die enorm hohe Verbreitung, die das System für Angreifer besonders interessant macht. Erschwerend kommt das homogene Umfeld hinzu, das es Programmierern erlaubt, mit nur einer Variante eines Schädlings den größten Teil der Windows-Rechner zu infizieren. Bei Linux treffen Entwickler von Schadsoftware dagegen auf eine Vielzahl verschiedener, oft nicht einmal binärkompatibler Derivate. Ein weiterer Umstand, der den Angreifern in die Hände spielt, ist die Tatsache, dass nach wie vor die meisten Windows-Anwender ihr Benutzerkonto mit administrativen Rechten ausstatten. Eine erfolgreich ausgenutzte Schwachstelle im Webbrowser gibt dem Angreifer dann Zugriff auf das gesamte System.

Ein generelles Unterscheidungsmerkmal bei Angriffen auf den Rechner ist, ob diese lokal oder übers Netz erfolgen. Attacken über das Internet bedeuten ein erheblich höheres Risikopotential, unter anderem deswegen, weil dafür häufig keine Benutzerinteraktion notwendig ist. Ein Beleg dafür sind so genannte Botnets, die nicht selten aus mehreren tausend Rechnern bestehen. Bereits Ihre Entscheidung, Linux zu verwenden, schützt Sie vor den meisten Angriffen – aber nicht vor allen.

Trojanische Pferde

Ein Trojanisches Pferd ist ein Nutzprogramm, das huckepack einen Schädling auf dem Rechner einschleust. Ein Beispiel dafür ist der vor einigen Jahren weit verbreitete "Dosenhalter": Beim Ausführen des Programms öffnete sich die CD-ROM-Schublade, während im Hintergrund der Schadcode lief. Betroffen waren in erster Linie Anwender, die ohne nachzudenken Software aus dem Internet herunterluden oder an E-Mails angehängte Attachments aus nicht vertrauenswürdigen Quellen auf ihrem Rechner ausführten. In jedem Fall benötigt ein Trojaner eine Interaktion des Nutzers.

Linux-Anwender sind allerdings auf der sicheren Seite, da die Programme praktisch ausnahmslos für Windows geschrieben wurden. Heute sind Trojanische Pferde eine aussterbende Rasse, da es jetzt deutlich effektivere Möglichkeiten gibt, Schadcode auf Rechnern einzuschleusen. Der beste Schutz vor dieser Art von Bedrohung ist der gesunde Menschenverstand. Im Klartext heißt das, keine Programme unbekannter Herkunft auszuführen. Linux-Benutzer sollten in diesem Zusammenhang besonders darauf achten, ihrem Paketmanagement keine Repositories unbekannter Herkunft hinzuzufügen und Programme daraus zu installieren.

Backdoors

Eine Backdoor (Hintertür) öffnet auf dem Rechner eine Hintertür, über die Angreifer vom Internet aus auf den PC zugreifen können. Anders als Fernwartungsprogramme starten Backdoors meist verdeckt, damit der Anwender ihren Betrieb nicht bemerkt. Backdoors sind nicht zwangsläufig Schadprogramme, und oft können nur versiertere Anwender sie entlarven, z. B. mit Hilfe des Programms netstat, das die aktiven Netzwerkverbindungen des Rechners anzeigt. Ein prominentes Beispiel, das es relativ leicht ermöglicht, eine Backdoor auf dem Rechner einzurichten, ist das auf praktisch jeder Distribution installierte Netcat. Der Kommandozeilenaufruf

nohup netcat -l -p 6666 -n -e /bin/sh &

startet das Programm im Hintergrund, es lauscht dann auf Port 6666. Hat ein Angreifer es geschafft, das Tool auf diese Weise zum Laufen zu bringen, kann er den Rechner jederzeit über den Kommandozeilenaufruf

netcat -nvv IP-Adresse
 6666

kontaktieren (Abbildung 1). Startet root das Tool, erlangt der Angreifer uneingeschränkten Zugriff auf die Maschine. Dieses einfache Beispiel funktioniert aber nur, wenn der Rechner eine über das Internet erreichbare IP-Adresse hat, die dem Angreifer auch bekannt ist.

Abbildung 1: Das obere Fenster zeigt Netcat beim Zugriff auf einen gestarteten Netcat-Server (unten).

Eine andere Form von Backdoors sind komplexere Fernwartungs-Softwarepakete, die speziell für diesen Einsatzzweck entwickelt wurden, in der Windows-Welt beispielsweise das berühmt-berüchtigte Back Orifice, Sub Seven oder Netbus. Sie bringen eine Reihe Zusatzfunktionen, etwa für einfache Transfers von Dateien, mit, die es dem Angreifer erleichtern, an die gesuchten Daten auf dem Rechner zu kommen oder ihn nachträglich zu manipulieren.

Letztendlich sind Backdoors sowohl für Windows- als auch für Linux-Nutzer gleichermaßen gefährlich. Allerdings genügt in der hier vorgestellten Variante bereits ein Router wie die Fritzbox, um den Zugriff aus dem Internet zu unterbinden. Der Grund dafür ist, dass dieser die IP-Adressen per NAT umsetzt, womit die Rechner im lokalen Netz nicht mehr ohne weiteres von außen erreichbar sind.