Inhaltsverzeichnis 1 Der Banken Der Banken Der Banken Der Banken-Hack Hack Hack Hack 14 14 14 14 1.1 Aufgabe................................................................................................................... 14 1.1.1 Bedingungen............................................................................................. 14 1.1.2 Vorgehensweise zur Lösung .................................................................... 15 1.2 Zugangsweg – Informationsrecherche über Social Engineering ......................... 15 1.3 Suche nach dem richtigen Ziel .............................................................................. 18 1.3.1 Sparkassen – Zuviel Kontrolle auf dem Server ....................................... 18 1.3.2 Recherche: IIS-Server gesucht ................................................................. 18 1.3.3 Betriebssystem und Transaktionssoftware.............................................. 20 1.3.4 Wie wird der Server geschützt?................................................................ 20 1.3.5 Keine Logdateien – das steuert wohl OFX .............................................. 23 1.3.6 Datenübergabe durch Skripte.................................................................. 23 1.3.7 Der Datenabruf ........................................................................................ 42 1.3.8 Theoretischer Diebstahl von TANs – Geld überweisen von fremden Konten ....................................................................................... 45 1.3.9 Die verwendeten Tools ............................................................................ 45 1.4 Nachtrag zum Banken-Hack................................................................................. 50 1.5 Fazit ........................................................................................................................ 50 1.6 Medienberichte ...................................................................................................... 51 1.7 Erkenntnisse von anderen Banken ....................................................................... 54 1.7.1 Security-Audit gegen Lücken bei einer Volksbank ................................ 54 1.7.2 Ein weiteres Szenario im Sparkassenbereich .......................................... 55 1.7.3 Danksagungen .......................................................................................... 59 2 Schwachstellen bei Windows Schwachstellen bei Windows Schwachstellen bei Windows Schwachstellen bei Windows-Systemen (9x, NT, 2000) Systemen (9x, NT, 2000) Systemen (9x, NT, 2000) Systemen (9x, NT, 2000) 62 62 62 62 2.1 Jenseits der Hacker – Plattencrash, Dateneinsicht oder Diebstahl ..................... 62 2.1.1 Unterschiede zwischen Windows 9x und NT und seinen Nachfolgern .............................................................................................. 63 2.1.2 Der physische Angriff............................................................................... 63 2.1.3 Der Screensaver-Passwortschutz – kein Problem für Insider ................ 66 2.1.4 Autoplay – Einbruchsvorbereitung per CD............................................ 69 2.2 Passwörter ausspionieren ...................................................................................... 72 2.2.1 Interessante Passwörter gibt’s fast überall .............................................. 72 2.2.2 Die Passwort-Dateien:.............................................................................. 74 2.2.3 Passwörter unter Windows 2000............................................................. 77 2.3 Der Remote-Angriff – Internet- oder Netzwerk-User aufgepasst....................... 78 2.3.1 Datei- und Druckerfreigaben sind gefährliche Sicherheitslücken......... 79 2.3.2 Was sind Scanner, wie arbeiten sie? ........................................................ 79 2.3.3 Welche Möglichkeiten hat der Eindringling? ......................................... 82
