G 5.21 Trojanische Pferde

Ein Trojanisches Pferd ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Der Benutzer kann daher auf die Ausführung dieser Funktion keinen Einfluss nehmen, insoweit besteht eine gewisse Verwandtschaft mit Computer-Viren. Es ist jedoch keine Selbstreproduktion vorhanden. Als Träger für Trojanische Pferde lassen sich alle möglichen Anwenderprogramme benutzen. Aber auch Scriptsprachen, wie Batch-Dateien, ANSI-Steuersequenzen, Postscript u. Ä., die vom jeweiligen Betriebssystem oder Anwenderprogramm interpretiert werden, können für Trojanische Pferde missbraucht werden.

Die Schadwirkung eines Trojanischen Pferdes ist um so wirkungsvoller, je mehr Rechte sein Trägerprogramm besitzt.

Beispiele:

• Ein geändertes Login-Programm kann ein Trojanisches Pferd enthalten, das Namen und Passwort des Benutzers über das Netz an den Angreifer übermittelt und dann an das eigentliche Login-Programm weitergibt. Solche Trojanischen Pferde sind in jüngster Zeit z. B. bei diversen Online-Diensten wie AOL oder T-Online aufgetreten.
• Bei dem Programm Back Orifice handelt es sich um eine Client-Server-Anwendung, die es dem Client erlaubt, einen Windows-PC über das Netz fernzuwarten. Insbesondere können Daten gelesen und geschrieben sowie Programme ausgeführt werden. Eine Gefährdung entsteht dadurch, dass dieses Programm in ein anderes Anwendungsprogramm integriert und somit als Trojanisches Pferd verwendet werden kann. Wird das Trojanische Pferd gestartet und besteht eine Netzverbindung, so kann ein Angreifer die Fernwartungsfunktion von Back Orifice für den Benutzer unbemerkt benutzen. In diesem Zusammenhang ist auch das Programm NetBUS zu erwähnen, das ähnliche Funktionen bietet.
• Mit Hilfe von Root-Kits für verschiedene Unix-Varianten, die manipulierte Versionen der Programme ps, who, netstat etc. enthalten, ist es möglich, längere Zeit unbemerkt so genannte Backdoors offen zu halten, die einen unbemerkten Einbruch in das System ermöglichen und dabei die Angriffsspuren verstecken. Häufig werden u. a. die Dateien /sbin/in.telnetd, /bin/login, /bin/ps, /bin/who, /bin/netstat und die C-Libraries ausgetaucht.
• Eine weitere Gefahrenquelle bei Unix-Systemen ist der "." in der Umgebungsvariable $PATH. Wenn das jeweils aktuelle Arbeitsverzeichnis (.) als Pfad in der Variable PATH enthalten ist, werden zunächst die dort befindlichen Programme ausgeführt. So könnte beim Auflisten des Inhaltes eines Verzeichnisses vom Superuser unbeabsichtigt ein darin enthaltenes modifiziertes "ls"- Programm mit root-Rechten ausgeführt werden.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.