|
|
gefährliche Hacker Attacken
Die Identität der Hacker bleibt dabei meist im Dunkeln, in einigen Fällen ist zumindest die Herkunft klar, wie bei den kontinuierlichen Angriffen von Moonlight Maze, die offensichtlich aus Russland operierten. Die Täter verwenden meistens die überall im Internet verfügbaren Hacker-Tools und letztlich könnte jeder, vom Kind bis zu Terroristen oder feindlichen Regierungen, beteiligt sein. Während Viren in der Regel sofort einen Schaden anrichten und aus diesem Grund sehr schnell bemerkt werden, bleiben Hacker-Angriffe unter Umständen lange verborgen. Selbst eine Firewall ist nicht immer im Stande, alle Attacken erfolgreich abzuwehren. Wir zeigen hier, wie sich die Angriffe auch mit
Bordmitteln und kostenlosen Tools erkennen und verhindern lassen. Wer sich
aber ausreichend im Internet schützen will, kommt am Einsatz
einer professionellen Firewall und externer Unterstützung nicht vorbei. Was passiert aber bei einem Hackerangriff und wie kann ein solcher Angriff bemerkt werden. Diese und ähnliche Fragen werden oft an uns gestellt. Wir haben Ihnen hier einige Tipps zusammengestellt, in denen Sie erfahren, wie ein Angriff ausgeführt wird, wie Sie ihn bemerken können, wie Sie sich schützen können und vor allem, wie Sie sich dagegen wehren können. Angriffe von Hackern oder genauer gesagt, von Script-Kiddies zu bemerken, ist eigentlich gar nicht so schwer. Mit ein paar Kenntnissen über das System und den richtigen Adressen im Netz lässt sich ein Angriff sogar zurückverfolgen. Der Weg um Zugang und Kontrolle über Ihren infizierten PC zu erlangen, ist die bestehende Online-Verbindung. Hierzu benötigt der Hacker zunächst die IP-Adresse des Zugangs-Rechners. Die IP Adresse kann bei einer Standleitung oder ADSL Verbindung statisch sein, verändert sich aber jedes Mal bei einer ISDN- oder tDSL-Einwahl im Netz. Bei der Einwahl ins Netz über einen Internet-Provider oder Call by call Anbieter, wird eine temporäre IP-Adresse vergeben, die zufällig aus einem Pool an freien IP-Adressen ausgewählt und einmalig für die Zeit der Online-Verbindung Ihrem Verbindungs-Rechner zugeordnet wird. Um den riesigen Pool an IP-Adressen eines Providers zu durchsuchen, gibt es komfortable Hacker-Tools, mit denen man in vertretbarer Zeit ganze Adressräume der Provider durchforsten kann. Somit ist es kein großes Problem, Ihre IP-Adresse zu ermitteln und dann Kontakt zu Ihrem Netzwerk aufzunehmen. Warum der ganze Aufwand? Trojaner kennen keine offensichtliche Schadensfunktion, um sich möglichst lange im System verstecken zu können. Beliebte Tarnungen sind nach wie vor Screensaver und kleine Spielereien. Während diese vom Benutzer erstmals ausgeführt werden, schreibt sich der Trojaner heimlich ins System. Die Vorgehensweise bei einem Trojaner-Angriff ist fast immer die gleiche. Ähnlich wie bei Viren werden diese meist wahllos gestreut, etwa über Mail-Attachments oder Downloads. Lädt der ahnungslose Anwender das Programm, schlummert dieses im System, bis die Malware aktiviert wird. Dann erst nimmt der Hacker Kontakt auf. Der Hacker weiß zuvor nicht unbedingt, welche PCs einen offenen Port haben oder mit einem Trojaner infiziert sind. Er durchsucht systematisch in den Adressen, bis er eine IP-Adresse erreicht, über die er einen Port oder einen Trojaner ansprechen kann. Falls Ihnen per Mail bereits ein Trojaner zugestellt wurde und Sie arglos den Dateianhang der Mail geöffnet und ausgeführt haben, wurde der Trojaner installiert. Nun versucht der Hacker mit seinem Client den Server auf Ihrem Rechner anzusprechen. Zu diesem Zweck benötigt er einen offenen Port.
Die Portnummer ist von Trojaner zu Trojaner verschieden. Beispielsweise nutzt der Trojaner SubSeven den Port 1234. Für die aktuelle Netbus-Version, Netbus Pro, lautet die Voreinstellung Port 20034. Zahlreiche Internet-Seiten listen bekannte Trojaner und deren Port-Belegung auf, beispielsweise www.anti-trojan.net/de/trojportlist.aspx. Angesichts variabler Tarnprogramme und ständig neuer Exemplare sind diese Listen aber nie vollkommen aktuell.
Netbus: Das Programm installiert den
Client normalerweise über die Datei patch.exe im Windows-Ordner. Der Dateiaufruf
zu patch.exe steht außerdem unter den Prozessen im Taskmanager. Der Trojaner
schreibt einen weiteren Eintrag im Schlüssel Hkey_Local_ Machine/Software/Microsoft/Windows/CurrentVersion/Run
(alternativ in den Subkeys RunOnce und RunServices). Außerdem installiert Netbus
die Datei keyhook.dll (Keylogger).
Andere Trojaner: Neben den drei genannten Exemplaren, die
zu den häufigsten gehören, existieren zahllose weitere mit geringerer
Verbreitung, die nach dem gleichen Muster agieren. Fast immer setzen diese
Angreifer Marken in der Registry im Schlüssel Hkey_Local_Machine/Software/Microsoft/Windows/CurrentVersion/Run
oder Hkey_Local_Machine/Software/Microsoft/Windows/CurrentVersion/RunServices.
Ein unbekannter Eintrag mit dem Parameter /nomsg (no message) ist grundsätzlich
verdächtig. Hier gilt: Schlüssel exportieren und anschließend den Eintrag
löschen. DoS- oder DDOS-Attacken Bei DoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo, eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und für eine bestimmte Zeit für normale Anfragen außer Gefecht gesetzt. Es existieren daher auch verschiedene Formen einer DoS-Attacke: Syn Flooding: Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein Handshake durchgeführt. Dabei werden SYN - und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen. Ping Flooding: Ping ist ein Programm, das prüft, ob andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding bombardiert der Angreifer den Zielrechner mit einer gewaltigen Menge von Pings. Der Rechner ist dann damit beschäftigt die Pings zu beantworten. Das Ping Flooding führt zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet. Es entstehen hohe Kosten, wenn die Netzwerkverbindung nach Datenmenge abgerechnet wird. Mailbombing: Dabei wird entweder eine enorm große Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten bombardiert. Das führt zum Verstopfen des Mail-Accounts. Im schlimmsten Fall bricht der Mail-Server total zusammen. Solche Mail-Bombing-Angriffe können ohne größere Probleme durch im Internet erhältliche Programme durchgeführt werden.
Buffer Overflow "Buffer Overflow"-Schwachstellen sind gerade bei Web-Servern und -Applikation durchaus häufig und gefährlich. Ein Angreifer aus dem Internet kann beispielsweise einen "Speicherüberlauf" generieren, das System zum Absturz zwingen oder gar eigenen Code ausführen lassen, indem er lediglich ein paar Zeilen formatiert und darin seinen Code stückweise verteilt. Um eine Buffer-Overflow-Schwachstelle auszunutzen, bedarf es keiner Interaktionen des Nutzers. Auf diese Weise lässt sich der Angriff einfach mit Hilfe wieder verwendbarer Skripts oder Würmern reproduzieren und ausweiten. Buffer-Overflow-Attacken können überall dort gestartet werden, wo Input des Anwenders erwartet wird. Dazu gehören Internetadressen (URLs), HTTP-Kopfzeilen oder -Text. Dialer Zu den gefährlichen Malware-Programmen zählen Dialer. Dahinter verbergen sich 0190 oder 0900-Nummern zur Einwahl ins Internet. Dialer werden über vermeintliche Hacker-Seiten, vor allem aber über Sex-Angebote im Internet verbreitet und treffen Anwender mit Wählleitungen (Modem, ISDN). Während der Installation des Dialers werden die vorhandenen Einstellungen der DFÜ-Verbindung überschrieben. Ab dem Zeitpunkt surft der Anwender für bis zu 1,86 Euro pro Minute. Unentdeckt bleibt der Schwindel dann bis zur nächsten Telefonrechnung. Einblicke in die DFÜ-Verbindung und die Modemeinstellungen gewährt die Systemsteuerung. Ob sich ein Dialer eingeschleust hat, entlarvt dort allein die Vorwahl. Der Name des Providers wird selten geändert. Täuschen lassen sollte sich der User nicht von einer 010 33-Vorwahl vor dem 01 90-Code. Denn diese hat auf den tatsächlichen Tarif keine Auswirkungen. Klicken Sie also gar nicht erst auf Links in Werbe-Mails oder auf den beworbenen Web-Seiten. Installieren Sie keine Programme, die aus unsicheren Quellen stammen. Brechen Sie einen automatisch gestarteten Download sofort ab. Lassen Sie 0190- Nummern sperren. (Telekom: 0800-330-1000). Beantragen Sie einen Einzelverbindungsnachweis. Richten Sie keinen automatischen Internet-Zugang ein. Speichern Sie Ihr Zugangspasswort nicht ab. Installieren Sie ein Dialer-Schutzprogramm (0190-Warner). Meiden Sie unbekannte Software, E-Mails oder "kostenlose" Dialer. Deaktivieren Sie wenn möglich AktiveX und andere Aktive Inhalte, über die sich Dialer unbemerkt einnisten können. Schalten Sie externe Modems ab. Ziehen Sie ungenutzte Kabel aus der Telefondose. Wenn Sie über DSL verfügen, so stellen Sie sicher, dass Ihr altes Modem bzw. Ihre ISDN Karte abgeschaltet, ausgebaut oder von der Telefonleitung getrennt sind. Sollte das nicht der Fall sein, kann ein Dialer Ihre "alte Leitung" missbrauchen. ARP-Spoofing, Man-in-the-Middle-Attacken und Connection Hijacking Seit vielen Jahren gehören Man-in-the-Middle-Attacken, die auf den Missbrauch von ARP zurückzuführen sind, zum festen Repertoire vieler Hacker. Für die IP-Kommunikation über das Ethernet ist ARP ein unverzichtbarer Bestandteil, da die eigentliche Adressierung im Ethernet anhand der MAC-Adressen stattfindet. Eine MAC-Adresse (Medium Access Control) ist eine auf der Netzwerkkarte festgelegte Kennung, die im Normalfall einzigartig und unveränderbar ist. ARP stellt das Bindeglied zwischen IP- und MAC-Adresse dar. Bevor ein IP-Paket verschickt werden kann, ist die MAC-Adresse des Zielrechners zu ermitteln. Dazu versendet ARP einen Broadcast mit der Frage "who has <IP-Adresse>". Ist der Ziel-Host online, antwortet dieser mit einem an den Absender gerichteten ARP-Reply "<IP-Adresse> is at <MAC-Adresse>". Diese Antwort speichert der Rechner temporär im ARP-Cache, um weitere Anfragen zu vermeiden. Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das Fälschen des DNS. Der Angreifer bekommt dadurch die Möglichkeit zu kontrollieren, welche Adressen wie aufgelöst werden, da er anstelle des eigentlichen Name-Servers diese Auflösung übernimmt. Dadurch ist er in der Lage, Adressen vertrauenswürdiger Seiten auf eigene Server umzuleiten, um beispielsweise eingegebene Passwörter oder PINs in Erfahrung zu bringen. Ein anderes Beispiel ist das Spoofen des DHCP-Servers. Da zusätzlich zur IP-Adresse noch diverse andere Daten wie das Gateway oder die Adresse des Nameservices übertragen werden, ist der Angreifer dadurch in der Lage, die Kommunikationswege des Rechners zu manipulieren, um damit eine Man-in-the-Middle-Attacke einzuleiten.
Connection Hijacking ist vergleichbar mit einem Man-in-the-Middle-Angriff. Der Unterschied ist, dass bestehende Verbindungen übernommen werden. Anwendung findet dies in erster Linie bei unverschlüsselten Protokollen wie Telnet, die eine kontinuierliche Verbindung aufbauen. In die Kommunikation von verschlüsselten Verbindungen kann der Angreifer auf diese Weise nicht mehr eingreifen, da er nicht im Besitz der dafür notwendigen Schlüssel ist. Weist ein ARP-Cache mehrere Einträge mit identischen MAC-Adressen auf, ist das ein Indiz, dass diese gespooft wurden. Dies muss jedoch nicht zwingend der Fall sein, da ein Host über mehrere IP-Adressen auf dem gleichen Netzwerk-Device verfügen kann; in der Regel findet das jedoch nur bei Servern Anwendung. Eine effektive Maßnahme, um den Missbrauch von ARP vorzubeugen, ist die Verwendung von Layer-3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung werden vom Switch bemerkt und verhindert. Abhilfe schafft auch die richtige Konfiguration der Hosts im Netz, um zumindest die wichtigsten Angriffsziele wie den Gateway, DNS oder Mailserver gegen einen Man-in-the-Middle-Angriff zu sichern. Das Einrichten eines statischen ARP-Caches, der die wichtigsten Host-Zuordnungen festlegt, reicht jedoch oft schon aus, um zumindest einen Grundschutz vor ARP-Spoofing zu gewährleisten. Unter Linux lässt sich ein statischer ARP-Cache einrichten. Legen Sie dazu die Liste der Hosts, deren Zuordnung statisch in den Cache geschrieben wird, in einer Datei an und rufen Sie "arp -f <Dateiname>" auf. Dieses Kommando liest die Datei aus und schreibt deren Inhalt in den ARP-Cache. Um diesen Vorgang beim Start zu automatisieren, legen sie im Runlevel 4 oder 5 ( /etc/rc4.d oder /etc/rc5.d) ein entsprechendes Startscript an. Unter Windows erstellen Sie eine Datei "arpstart.bat" und fügen die Adressen wie folgt ein: arp -s <IP-Adresse> <MAC-Adresse> . Damit bei jedem Systemstart das Skript geladen und die Einträge fest in den Cache geschrieben werden, tragen Sie die Datei in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run" ein. Als Schutzmaßnahme kann man das Tool XArp im Hintergrund mitlaufen zu lassen. Das Programm protokolliert sämtliche Veränderungen in der Zuordnung zwischen IP-und MAC-Adresse und stellt diese übersichtlich dar. http://www.chrismc.de/developing/xarp/ Social Engineering
Die Absicht ist meistens, jemanden anzurufen und
ihn dazu zu bringen, sein Passwort zu verraten oder ein Programm auszuführen. Es
gibt jedoch wesentlich raffiniertere Attacken, bei denen nur kleine
Informationsbröckchen benötigt werden.
Windows XP hat mit SP2 eine eigene Firewall, die sich auf den
ersten Blick einfach konfigurieren lässt. Der Anwender aktiviert lediglich ein
Kontrollkästchen im Eigenschaften-Fenster der DFÜ-Verbindung (Registerkarte
Erweitert). Allerdings bringt die Windows-eigene Firewall zwei Schwächen mit
sich, die den Schutz aushebeln. Zum einen werden ausgehende Pakete nicht
gescannt, sondern nur die eintreffenden. Zum anderen unterstützt die Firewall
UPnP (Universal Plug & Play). Dadurch können Anwendungen von Drittanbietern
ebenfalls nach Belieben passieren - unter anderem auch Trojaner. Security-Tools oder Firewalls bemerken die Suche nach IP-Adressen oder den Port-Scan und unterbinden in der Regel diesen Versuch. Beispielsweise zeigt LockDown2000 bei einem Versuch folgende Meldung an:
[11.01.02 12:14:35] Incoming hack attempt from IP Address: 109.220.138.123 In der ersten Zeile sehen Sie die IP-Adresse, über die der Hacker ins Netz gegangen ist. Diese IP Adresse ist wichtig, da anhand der IP-Adresse der Provider unter Umständen den Rechner identifizieren kann, dem zu diesem Zeitpunkt diese IP-Adresse zugeordnet wurde. Über einen traceroute kann man die Route zurückverfolgen, die der Hacker über das Netz genommen hat. Es sind die Zwischenstationen der Netzknoten, über die diese Verbindung zustande gekommen ist. Dabei erhält man einen Domain Namen. Dies ist die Adresse des Adress-Inhabers - leider noch nicht in einer Form lesbar, um den Provider oder den Inhaber festzulegen. Dafür benötigen Sie jetzt eine WHOIS-Abfrage bei der Koordinationsstelle für Domains: Zum Beispiel den DENIC für DE-Domains, den INTERNIC für com- org- oder net Domains. Hierzu geben Sie in das Whois-Textfeld einfach nur den Domain-Namen ein und erhalten dann folgende Informationen:
person:
ADMIN-C Wichtig ist hierbei der Eintrag admin-c, denn dort wird der tatsächliche Besitzer und Administrative Ansprechpartner dieser Domain beschrieben. Achtung, diese Informationen können teilweise veraltet sein. Ist kein Domain-Namen verfügbar, kann der Besitzer des IP Adresskreises beim RIPE oder ARIN über die Whois Funktion gesucht werden. Mit diesen Angaben können Sie versuchen den entsprechenden Domain-Inhaber über den Vorfall zu informieren, eine Abmahnung des Hackers verlangen oder eine Strafanzeige erstatten. Der steinige RechtswegErstatten Sie jedenfalls eine Strafanzeige bei der Polizei! http://www.polizei.propk.de/rat_hilfe/beratungsstellen/ Recht haben heißt aber nicht immer sofort Recht zu bekommen, denn der Weg zur Ermittlung und Anklage des Schädigers ist mitunter kompliziert und dornenreich. Welche Möglichkeiten aber hat ein Geschädigter, wenn Dokumente oder Geschäftsunterlagen zerstört und gestohlen werden oder ein System so zerstört wird, dass keine Möglichkeit mehr zum Zugriff auf Daten besteht? Eine Rechtsberatung dürfen wir Ihnen hier nicht geben, zumindest aber Tipps und Hinweise, wie Sie sich im Verdachtsfall verhalten können. Dass ein potentieller Angreifer seine Identität allzu leicht offen legt, braucht niemand zu hoffen. Schädlinge werden zu 96% per eMail verschickt und es gibt viele, oft auch im Ausland gelegene Freemail-Anbieter die offensichtlich keinen Wert auf die Identität eines Nutzers legen. So können Angreifer Postfächer eröffnen und von dort aus anonym ihre destruktiven Aktivitäten ausführen. Zudem ist es jederzeit möglich, mit einem Programm wie Ghost-Mail anonyme eMails zu versenden und von einem ungeschützten Spam-Server in Umlauf zu bringen. Normale Viren sind nicht das Problem, wenn es um Datendiebstahl geht. Ein Virenscanner ist in der Lage, den schädlichen Code zu verhindern. Das weitaus größere Problem ergibt sich aus Trojanern oder BackDoors. Sie sind in der Lage, unbemerkt Verbindungen zum Angreifer aufzunehmen, der dann in der Lage ist, sämtliche lokalen Funktionen auszuführen und den infizierten Rechner zu durchsuchen. Auf diese Weise können Nutzerdaten, private Dokumente oder auch wichtige und geheime Geschäftsunterlagen gesammelt werden. Liegt ein begründeter Verdacht auf Befall mit einem Trojaner oder Backdoor vor und wurden persönliche Daten gestohlen oder zerstört, muss der Beweis dafür erbracht werden. Sehr wirkungsvoll ist hier der Einsatz einer Firewall mit Log-Funktion, denn auf diese Weise lassen sich sämtliche Verbindungen erfassen und protokollieren. Beweisführend ist hier die IP-Adresse des Remote-Rechners, von dem aus der Angreifer auf den Ziel-Rechner zugreift. Kann sie zweifelsfrei erfasst werden, hat der Geschädigte eine reelle Chance auf Ergreifung des Schädigers, denn die meisten Internet-Provider erfassen User in einer Logdatei. Anhand dieser Logdatei kann ermittelt werden, wem zu welchem Datum und zu welcher Uhrzeit diese IP-Adresse zugeordnet wurde.
Zum Beispiel kann das die Logdatei des eingesetzten Firewall-Systems sein. Wurden auch Nutzerdaten gestohlen und wurde damit ein wirtschaftlicher Schaden verursacht, indem der Datendieb die fremden Account-Daten für eigene Surf-Sessions benutzt hat, so kann auch eine Auflistung der Telefon- und Internet-Kosten der letzten Monate eine Hilfe sein. Liegt ein begründeter Verdacht auf Datendiebstahl oder Zerstörung vor, ist Eile geboten, denn Internet-Provider bewahren Logfiles maximal 90 Tage auf. In jedem Fall werden Sie oder Ihre Rechtschutzversicherung aber in Vorleistung gehen müssen, da Rechtsanwälte in der Regel einen Vorschuss für ihre Arbeit berechnen. Wurde eine Strafanzeige gestellt und ist es dem beauftragten Staatsanwalt gelungen, in den Logfiles des Providers den verdächtigen Zugang zweifelsfrei festzustellen, laufen die Ermittlungen an. Ein Hinweis zu forensischen Untersuchungen: Wenn Sie wirklich glauben, dass ein Angriff stattgefunden hat und rechtliche Schritte einleiten möchten, empfiehlt es sich, die forensischen Untersuchungen nicht selbst vorzunehmen. Nehmen Sie das System aus dem Netz, um eine weitere Ausbreitung des Schadens zu verhindern, aber ziehen Sie anschließend einen forensischen Experten zu Rate. Das Risiko, dass Beweise zerstört und damit vor Gericht nicht mehr anerkannt werden, ist einfach zu groß. Wenn Sie also die Notwendigkeit zum Sichern von Beweisen sehen, ziehen Sie unbedingt einen Experten hinzu. Bitte fragen Sie uns bei Angriffen von professionellen Hackern direkt um Hilfe, da hier meistens ein gezieltes, schnelles Vorgehen notwendig ist. Informationen über das richtige Verhalten im Verdachtsfall können wir Ihnen in Zusammenarbeit mit einem spezialisierten Anwaltsbüro gerne geben. Wir haben Ihnen hier die wichtigsten Gesetze aufgelistet:
|
GepaNet: Ihr Systemhaus im Bereich Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben
Wir betreuen Sie als Kunden Vor-Ort im Bodensee
Gebiet in Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz,
Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis,
Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny,
Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach,
Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen,
Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil,
Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg,
Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen,
Überlingen, Ulm, Wangen, Wasserburg, Weiler und Weingarten. Wir beliefern Sie
gerne im gesamten EURO-Raum. | ||||||||||||
Unter
Man in the Middle ist zu verstehen, dass die Kommunikation zwischen zwei
Verbindungspartnern transparent über einen dritten Host läuft. Transparent heißt
in diesem Zusammenhang, dass weder der Absender noch der Empfänger bemerken,
dass sie eigentlich nicht direkt miteinander verbunden sind, sondern über einen
dritten Host, der ähnlich wie ein Gateway die Informationen weiterleitet.
Realisiert wird das auf verschiedene Weisen, abhängig davon, welche Verbindung
betroffen ist. Befinden sich beide Hosts im gleichen Subnetz, versendet der
Angreifer seine eigene MAC-Adresse an beide Hosts mit der IP-Adresse des jeweils
anderen. Sowohl Rechner A als auch Rechner B verbinden sich mit Rechner C in dem
Glauben, miteinander verbunden zu sein. 
Das Telekommunikationsgesetz lässt jedoch nicht zu, dass
Privatpersonen Zugriff auf die Daten der Provider-Logfiles nehmen können. Dies
darf nur der ermittelnde Staatsanwalt, der durch eine Strafanzeige seine Arbeit
aufnimmt. So ist der erste Schritt also die Beautragung eines Rechtsbeistands,
der dann eine entsprechende Strafanzeige stellt. Für eine erfolgreiche
Strafanzeige benötigen die Ermittler sämtliche von Ihnen gesammelte Daten. 