Was tun bei einer „Hacker-Attacke“?
Häufig werde ich gefragt: „Während einer Internet-Sitzung meldet mir Lockdown einen Zugriffsversuch auf meinen Rechner. Wie lese ich das ausgegebene Logbuch und was kann ich gegen den Hacker unternehmen?“
Im Folgenden möchte ich also einmal anhand eines Beispieles ausführlich auf diese Frage eingehen. Wir nehmen uns der Einfachheit halber mal das Beispiel, das bereits unter „Probleme mit Lockdown“ aufgeführt ist.
Beispiel
Während einer Online-Sitzung meldet mir Lockdown folgendes (FAQ):
[08.11.99 18:04:21] Incoming hack attempt from IP Address: 62.157.53.28
[08.11.99 18:04:21] Hacker is attempting to gain access using the SubSeven trojan.
[08.11.99 18:04:21] Hacker's connection was terminated by Lockdown 2000.
[08.11.99 18:04:21] Log auto-saved to: 11081999.LOG
[08.11.99 18:04:21] Attempting trace route... Please stand by...
[08.11.99 18:04:21] Attempting to trace hacker's connection... Please stand by...
[08.11.99 18:04:21] 08.11.99 18:04:21-[From 62.157.53.28]-
[08.11.99 18:04:22] => 193.158.133.50
[08.11.99 18:04:22] => F-gw3.F.net.DTAG.DE
[08.11.99 18:04:22] => K-gw13.K.net.DTAG.DE
[08.11.99 18:04:22] => 193.158.144.13
[08.11.99 18:04:22] => p3E9D351C.dip.t-dialin.net
[08.11.99 18:04:22] =========================================
Oder wenn ich eine Software-Firewall (z.B. die ConSeal PC Firewall) einsetze alternativ folgendes:
[21.10.1999 13:34:14] Incoming hack attempt from IP Address: 62.40.8.135
[21.10.1999 13:34:14] Hacker is attempting to gain access using the SubSeven trojan.
[21.10.1999 13:34:14] Hacker's connection was terminated by Lockdown 2000.
[21.10.1999 13:34:14] Log auto-saved to: 10211999.LOG
[21.10.1999 13:34:14] Attempting trace route... Please stand by...
[21.10.1999 13:34:14] Attempting to trace hacker's connection... Please stand by...
[21.10.1999 13:34:14] 21.10.1999 13:34:14-[From 62.40.8.135]-
[21.10.1999 13:34:22] - Connection made locally!
[21.10.1999 13:34:22] =========================================
Der einzige Unterschied zum ersten Beispiel besteht darin, dass Lockdown die IP des Hackers nicht zurückverfolgen kann, da die Firewall diese Aktion abblockt.
Stellt sich nun die Frage: Was kann ich jetzt mit diesen Angaben anfangen?
Also dröseln wir die erste Meldung mal auf.
1. Zeile: Die IP Adresse von der der Scannvorgang ausgeht lautet 62.157.53.28
(Kurze Anmerkung: Diese Adressen werden vom Provider bei jeder Online-Sitzung dynamisch vergeben. Das heißt, dass der Nutzer bei der nächsten Einwahl eine völlig andere Adresse zugewiesen bekommt. Ausnahmen bilden hier nur Standleitungen. Dort wird eine feste Adresse vergeben.)
2. Zeile: Der Hacker benutzt den Trojaner SubSeven, um nach einem infizierten System zu suchen.
3. Zeile: Lockdown hat die Verbindung des Hackers lokalisiert.
4. Zeile: Dieses Logbuch wird unter dem Dateinamen 11081999.LOG abgespeichert.
(Kurze Anmerkung: Lockdown zeigt unter dem Punkt „Log“ alle automatisch gespeicherten Logbücher an. Man kann also auch im Nachhinein noch einen Ausdruck vornehmen.)
5. und 6. Zeile: Lockdown verfolgt mittels trace route den Verbindungsweg des Hackers zurück. Dieser Vorgang dauert einige Sekunden.
7. Zeile bis zum Schluss: Lockdown listet genau den Weg der zurückverfolgten Verbindung auf.
Okay, damit haben wir alles zusammen. Was nun?
Die letzte Zeile enthält eine der wichtigsten Angaben. Die IP Adresse 62.157.53.28 führt also auf die Einwahl-Verbindung p3E9D351C.dip.t-dialin.net zurück. Diese Angabe benötigt der Provider unbedingt, um den Hacker ermitteln zu können.
Fragt sich nur, welcher Provider?
In diesem Fall sagt uns das t-dialin.net in Verbindung mit dem DTAG.DE zwei Zeilen darüber, dass wohl eine T-Online-Verbindung bzw. das Netz der Deutschen Telekom AG genutzt wird.
(Kurze Anmerkung: Die verschiedenen Provider greifen oftmals auf das Netz der DTAG zurück, da sie keine eigenen Einwahlknoten bzw. Netze haben. Eine mir bekannte Ausnahme ist der Provider Klaus Datentechnik. Hingegen nutzt 1&1 das Netz der Deutschen Telekom.)
Gut. Aber woher weiß ich, an wen ich mich bei der Deutschen Telekom wenden kann?
Da gibt es wiederum mehrere Möglichkeiten. Entweder ich benutze ein Programm wie z.B. NeoTrace, lasse darüber die IP Adresse zurückverfolgen und mir über die Whois-Funktion des Programms weitere Angaben zur Verbindung machen. In der Regel wird dabei auch der zuständige Ansprechpartner bei der Deutschen Telekom genannt.
Eine andere Möglichkeit wäre in diesem Fall die Verwendung von http://www.denic.de (WWW) oder international http://whois.internic.net (WWW).
Wir nehmen mal die Homepage von Denic. Dort bekommen wir einen Punkt „Whois“ angeboten, den wir auch aufrufen. Anschließend geben wir in der entsprechenden Zeile „DTAG.DE“ ein. Whois teilt uns daraufhin mit, wer hinter der Domain DTAG.DE steckt. Wenn wir uns nun noch die Personendaten anzeigen lassen, dann bekommen wir 3 für die Domain zuständige Personen inklusive der Email-Adressen aufgeführt.
Was mache ich jetzt?
Da uns der genaue Ansprechpartner für solche Hackversuche natürlich immer noch nicht bekannt ist, werden wir uns einfach die erste der 3 Personen schnappen. Ein gewisser Herr Karl-Heinz Seum.
(Kurze Anmerkung: Aus Erfahrung weiß ich, dass Herr Seum auch tatsächlich für solche Fälle zuständig ist. Allerdings ist die richtige Email-Adresse zur Meldung solcher Vorfälle abuse@t-online.de, aber die ist uns zur Zeit ja noch nicht bekannt. Daher werden wir die Adresse von Herrn Seum direkt verwenden.)
Okay. Was muss ich schreiben bzw. mitschicken?
Wir öffnen die Logbücher in Lockdown und suchen uns unser Logbuch heraus. Wir öffnen das Log im Notepad und speichern die Datei anschließend als Text-Datei ab. Den Speicherort merken wir uns.
Jetzt setzen wir eine Mail mit folgendem Inhalt an Herr Seum auf:
Sehr geehrte Damen und Herren,
Am 08.11.1999 versuchte einer Ihrer Kunden meinen PC mittels Verwendung des SubSeven Trojaners zu manipulieren.
Der Hacker hat die IP Adresse 62.157.53.28 – p3E9D351C.dip.t-dialin.net verwendet. Das entsprechende Aufzeichnungsprotokoll habe ich als Textdatei dieser Email beigefügt.
Bitte unternehmen Sie die notwendigen Schritte, um einen weiteren Missbrauch zu unterbinden.
Außerdem möchte ich Sie bitten, mir für zukünftige Vorfälle dieser Art die korrekte Email-Adresse bzw. den zuständigen Ansprechpartner in Ihrem Hause zu nennen.
Soweit es sich vermeiden lässt, würde ich gerne auf die Herausgabe meines Namens an den Hacker verzichten. Sofern der Hacker noch nicht auffällig geworden ist, dürfte eine einfache Abmahnung genügen. Im Wiederholungsfall erwarte ich allerdings weitreichendere Schritte von Ihnen.
Bitte leiten Sie dieses Schreiben gegebenenfalls an die zuständige Stelle weiter. Für eine kurze Rückmeldung wäre ich Ihnen dankbar.
Mit freundlichem Gruß
So. Jetzt noch die Log-Datei von vorhin als Anhang an die Email und ab die Post.
(Kurze Anmerkung: Je schneller man in einem solchen Fall reagiert, desto größer ist die Wahrscheinlichkeit, dass der Hacker erwischt wird. Nach meinen Informationen werden die Logbücher bei der Deutschen Telekom nämlich nur 90 Tage gespeichert.)
Was passiert dann?
In der Regel meldet sich der für solche Fälle zuständige Mitarbeiter des Providers in den nächsten Tagen per Email bei euch und setzt euch über die Abmahnung des Hackers in Kenntnis. Bleibt zu hoffen, dass im Falle eines Wiederholungsversuches dem betreffenden Kunden gekündigt wird.
Die Email-Adresse vermerken wir uns für den nächsten Fall. Sollte innerhalb einer Woche keine Antwort eintreffen, dann würde ich mal in aller Höflichkeit bei der angeschriebenen Person nachfragen, was im Falle meiner Beschwerde unternommen wurde. Sofern wir die falsche Person angeschrieben haben, sollte man uns wenigstens die Adresse des richtigen Ansprechpartners nennen.
Warum dem Hacker nicht den Namen preisgeben? Nun ja, ich bin mir nicht sicher, ob das nicht ein übertriebenes Vorsichtsdenken ist. Aber ich persönlich würde mich sehr unwohl fühlen, wenn so jemand meinen Namen oder meine Email-Adresse kennen würde. Es gibt so viele kranke Gestalten im Netz und man weiß nie, auf was für Ideen die so kommen können...
Andererseits bin ich mir auch ziemlich sicher, dass solche „plumpen“ Attacken in den meisten Fällen von harmlosen „Möchtegern-Hackern“ gestartet werden. Da hat jemand SubSeven oder BO entdeckt und möchte nun einmal zeigen, was in ihm steckt. Meiner Meinung nach würde sich ein ernsthafter Hacker wohl nicht so ohne weiteres auf eine solche Art und Weise erwischen lassen. Allerdings ist das nur meine ganz persönliche Einschätzung.
Ergänzung
Natürlich kann man nicht immer davon ausgehen, dass die DTAG als Provider in Frage kommt. Erfahrungsgemäß werden aber ein Großteil aller Hackerattacken über diesen Provider geführt. Daher war ein Beispiel anhand der DTAG für mich die sinnvollste Wahl. Im Prinzip laufen die Schritte bei einem anderen Provider ganz ähnlich ab.
Sollte man nicht das Programm Lockdown einsetzen, dann bekommt man trotzdem in der Regel ein Protokoll zur Verfügung gestellt, dem man die IP Adresse des Hackers entnehmen kann. Leider habe ich in dieser Beziehung nur mit den Programmen Jammer und Back Officer Friendly Erfahrungen gemacht.