Die Hacker-Bibel

Hacker und Spione im Netzwerk

Samstag den 28.04.2012 um 07:41 Uhr

von Thorsten Eggeling

Ein genialer Hacker braucht nur Tastatur, Verstand und 60
Sekunden. Dann ist er „drin“ - das klappt aber nur im
Film.
Vergrößern Ein genialer Hacker braucht nur Tastatur, Verstand und 60 Sekunden. Dann ist er „drin“ - das klappt aber nur im Film.

Die Vorstellung, die Otto-Normal-User von einem Hacker hat, dürfte sich aus zahlreichen Hollywood-Filmen speisen. Wie Hacken genau funktioniert, haben die Marx Brothers bereits 1932 im Film Horse Feathers dargestellt. Lesen Sie den Dialog zwischen Baravelli und Professor Wagstaff in Wikipedia oder sehen Sie sich die Szene auf Youtube an.

Sie erkennen sofort das einfache Prinzip, das hinter jedem Hacker-Angriff steckt: Es ist immer und ausschließlich der Faktor Mensch, der den Zugang zu geschützten Räumen und Informationen ermöglicht. Die Sicherheitslücke sitzt sozusagen vor dem Computer - entweder in Form des Programmierers oder des Users.

Das Bewusstsein dafür ist aber immer noch nicht weit verbreitet. Das moderne Bild des Hackers wurde wohl weniger durch die Realität als vielmehr durch die Mystifizierung von Hacker und Computer in Actionfilmen geprägt. Hier sehen wir gerne den genialen Cracker, der wild auf der Tastatur „hackt“, um in fremde Computersysteme oder Netzwerke einzubrechen.

Einen eindrucksvollen Beleg lieferte 2001 beispielsweise „Password Swordfish“ . Hier soll der begnadete Cracker Stanley Jobson (Hugh Jackman) in 60 Sekunden in das System des US-Verteidigungsministeriums eindringen, was ihm - trotz der erschwerten Bedingungen - auch gelingt. Wer nachlesen möchte, was im Laufe des Films so alles über den Bildschirm flimmert, finden den Text auf einer Website, die sich mit der Darstellung von Computersicherheit in Filmen befasst.

Wie kommt der Hacker in das Netzwerk?

Filme wie „Password Swordfish“ eignen sich offenbar kaum als Lehrvideos für angehende Hacker. Wer wissen will, wie Einbrüche in Netzwerke funktionieren, muss sich nur ein paar Fälle aus der letzten Zeit genau ansehen.

Ein Beispiel ist ein Angriff durch die „No Name Crew“ auf Server der Bundespolizei, der im Juli 2011 bekannt wurde. Wie in solchen Fällen üblich, geben die Betroffenen meist nur zögerlich zu, Opfer von Cyberkiminellen geworden zu sein. Fast immer wird der Schaden heruntergespielt und behauptet, dass keine wichtigen Daten in die Hände der Hacker gefallen sind.

Details zu den Angriffen sickern erst nach und nach durch. Der Hackerangriff auf die Bundespolizei war offenbar möglich, weil auf einem Server das eigentlich nur für Testzwecke gedachte XAMPP-Paket (Apache, MySQL, PHP) installiert war. Die XAMPP-Entwickler weisen ausdrücklich auf die unzureichende Absicherung des Systems hin. Der Server darf hinter einer Firewall in abgeschlossenen Netzen aber niemals frei über das Internet zugänglich betrieben werden. Mitglieder der „No Name Crew“ gelang es jedenfalls problemlos, in das System einzudringen. Dabei brachten Sie Daten des GPS-Ortungssystem „Patras“ in ihren Besitz. Patras dient zur Überwachung von Personen über Geolokalisierung. Über diesen Netz-Zugang war es dann auch möglich, weitere PCs mit Trojanern zu infizieren.

Wie genau die Hacker an die Adresse des verwundbaren Servers gekommen sind, ist unbekannt. Es gibt Spekulationen darüber, dass der private Rechner eines Zollbeamten bereits 2009 mit einem Trojaner infiziert wurde. Mit diesem PC hat der Beamte auch seine dienstlichen E-Mails empfangen. Unbefugte konnten so über Jahre den E-Mail-Verkehr abfangen und vertrauliche Dokumente lesen. Diese Daten sollen später in den Besitz der „No Name Crew“ gelangt sein. Es ist möglich, dass in diesen E-Mails und Dokumenten Informationen zum XAMPP-Downloadserver zu finden waren, der dann Ziel des Hacker-Angriffs wurde.

XAMPP ist unsicher. Trotzdem kam das Programmpaket bei der
Bundespolizei zum Einsatz.
Vergrößern XAMPP ist unsicher. Trotzdem kam das Programmpaket bei der Bundespolizei zum Einsatz.

Ablauf eines Hacker-Angriffs

Zusammengefasst könnte sich folgender (spekulativer) Ablauf ergeben haben:

1. Der private Rechner eines Zollbeamten wird mit einem Trojaner infiziert.

2. Der Beamte empfängt dienstliche E-Mails auf seinem PC.

3. Die vertraulichen E-Mails werden von den Entwicklern des Trojaners mitgelesen.

4. Geheime E-Mails und Dokumente der Zollbehörde/Bundespolizei gelangen in den Besitz der „No Name Crew“.

5. In den erbeuteten Dokumenten finden sich Adressen von Servern der Bundespolizei.

6. Die „No Name Crew“ untersucht die Server auf Sicherheitslücken und wird bei einem XAMPP-Downloadserver fündig.

7. Der „No Name Crew“ gelingt es in den Server einzudringen, geheime Daten zu kopieren und über das interne Netzwerk Trojaner zu verbreiten.

8. Über die Trojaner gelangt die „No Name Crew“ an weitere geheime Daten aus dem Netzwerk.

Wenn dieser Ablauf nur einigermaßen der Realität entspricht, haben eine ganze Reihe von Personen komplett versagt. Ein Zollbeamter liest dienstliche Mails auf einem unzureichend geschützten privaten PC, beim Zoll werden E-Mails und Dokumente nicht verschlüsselt, Server werden von unqualifiziertem Personal eingerichtet und die Rechner im Zollnetz bieten offenbar keinen Schutz vor Viren und Trojaner. IT-Verantwortliche oder Sicherheitsbeauftragte, denen etwas davon auffallen könnte, scheint es bei der Bundespolizei nicht zu geben.

Die „No Name Crew“ gelangte 2011 über einen ungesicherten
Server an Daten der Bundespolizei.
Vergrößern Die „No Name Crew“ gelangte 2011 über einen ungesicherten Server an Daten der Bundespolizei.
© nn-crew.cc

Der Hacker-Angriff auf die Bundespolizei ist kein Einzelfall

In 60 Sekunden in ein Netzwerk einzudringen, wird wohl den Hollywood-Hackern vorbehalten bleiben. In der Realität sind viel Zeit und Geduld für einen Hacker-Angriff nötig, dazu müssen sich eine Portion Glück und einige Zufälle gesellen. Das Ganze funktioniert natürlich nicht ohne den fahrlässigen Leichtsinn der Opfer.

Der Duqu-Trojaner verbreitet sich über speziell präparierte Word-Dokumente, die Mitarbeiter in das Unternehmen einschleppten. Bei Stuxnet waren es infizierte USB-Sticks, die das Personal in Industrieanlagen einfach in ihren Arbeitsrechner stöpselten. Sind die Hacker erst einmal über derartige Methoden in das Netzwerk eingedrungen, kann die Schadsoftware mit ihrer Arbeit beginnen.

Bei den Angriffen ist neben technischem vor allem psychologisches Know-how gefragt. Meist sind es Social-Engineering-Attacken über die Zugangsdaten abgefragt oder Spionageprogramme verbreitet werden. Besonders beliebt sind immer noch Phishing-E-Mails aber auch soziale Netzwerke lassen sich zu Spionagezwecken nutzen.

Noch einfacher geht es mit klassischen Methoden. Wenn einem Hacker beispielsweise die Telefonnummer eines Mitarbeiters bekannt ist, genügt ein Anruf. Der Hacker gibt sich als Supportmitarbeiter aus und fragt nach Benutzernamen und Passwort. Das funktioniert in mehr Fällen als man vermutet, der Erfolg hängt dabei natürlich stark vom Geschick und autoritären Auftreten des Anrufers ab.

Eine Variante dieser Methode nutzt soziale Netzwerke. Der IT-Experte Thomas Ryan hat es ausprobiert. Er gab sich bei Facebook, Twitter und Linkedin als Robin Sage aus: 25 Jahre alt Absolventin der Technischen Hochschule in Massachusetts, Analystin für Cybersicherheit der US-Marine, zehn Jahre Berufserfahrung. In kurzer Zeit gelang es ihm, sich mit zahlreichen Mitgliedern der US-Armee, des Geheimdienstes und Angestellten von Sicherheitsunternehmen anzufreunden und dabei an vertrauliche Informationen zu gelangen.

Von wirkungsvoller Verschlüsselung scheinen auch nicht viele Unternehmen etwas zu halten. Nur so ist zu erklären, dass immer wieder Kundendaten in die Hände von Kriminellen fallen, die Benutzernamen, Passwörter und Kreditkarten-Nummer problemlos auslesen und verwerten können. Zuletzt geschehen bei Kunden der Gaming-Platform Steam , bei Xbox Live und Sony .

Beim Social Engineering sind Phishing-E-Mails immer noch
sehr wirkungsvoll. Aber zunehmend werden auch soziale Netzwerke für
Angriffe genutzt.
Vergrößern Beim Social Engineering sind Phishing-E-Mails immer noch sehr wirkungsvoll. Aber zunehmend werden auch soziale Netzwerke für Angriffe genutzt.
© www.checkpoint.com

Angriffe auf das lokale Netzwerk (LAN)

Die Beispiele haben gezeigt, dass Schlamperei in Kombination mit Leichtsinn den Hackern Tür und Tor öffnen. Dafür ist fast immer ein Trojaner nötig, der - über welchen Weg auch immer - auf die vernetzten Rechner gelangt. Dieser hat dann die gleichen Rechte wie der betroffenen Nutzer, kann also dessen E-Mails abfangen oder Dokumente versenden.

Ein Hacker könnte sich aber auch direkten Zugang zum Netzwerk verschaffen, etwa indem er in das Gebäude eindringt und den Netzverkehr abhört. Dann hätte er auf einen Schlag Zugriff auf alle Daten, die durch die Leitung rauschen. Dieses Szenario gehört bei einer aktuellen Netzwerk-Infrastruktur aber ebenfalls in den Bereich von Film und Phantasie. Sie können es selbst ausprobieren. Installieren Sie auf einem PC das Netzwerk-Analyse-Tool Wireshark.

Eine Anleitung zu Wireshark finden Sie im Artikel „Sniffer: Mit Wireshark Netzwerk-Probleme finden“ . Bei der Analyse des Netzwerk-Verkehrs werden Sie feststellen, dass Sie nur Datenpakete sehen, die an Ihren PC gerichtete sind. Die Daten von anderen PCs kommen am untersuchten Netzwerkadapter nicht an. Der Grund dafür ist, dass in modernen Netzwerken der Verkehr über einen Switch läuft. Dieser sorgt dafür, dass Datenpakte nur bei den Rechnern ankommen, für die sie bestimmt sind. Im Gegensatz dazu „sehen“ bei einem Hub, der vor vielen Jahren als Netzwerk-Verteiler diente, alle Rechner den gesamten Netzwerkverkehr.

An einem Switch sieht ein PC nur die Daten, die für ihn
bestimmt sind.
Vergrößern An einem Switch sieht ein PC nur die Daten, die für ihn bestimmt sind.
© www.cisco.com

Es wäre allerdings möglich, dass ein Hacker sich in die Leitung zum Server einklinkt. Dann würde er den Datenverkehr zwischen diesem Server und den PCs abfangen können. Doch an welche Daten könnte er dann gelangen? In Unternehmen, die Wert auf Sicherheit legen, erfolgt die Datenübertragung grundsätzlich verschlüsselt. Beim Datenaustausch mit Webservern sollte auch innerhalb eines Unternehmens immer eine HTTPS-Verbindung gewählt werden. Unternehmens-Software wie Microsoft Sharepoint, Microsoft SQL-Server oder Oracle-Datenbanksysteme bieten mehre Stufen der Verschlüsselung für Dateien, Datenbanken und den Netzwerkverkehr (TDE, Transparent Data Encryption). Der Aufwand, trotz Verschlüsselung lesbare Daten abzufangen, ist bei derartigen Systemen immens hoch. Trojaner auf dem PC der Mitarbeiter sind eine deutlich einfachere Angriffsmethode.

Samstag den 28.04.2012 um 07:41 Uhr

von Thorsten Eggeling

Kommentieren Kommentare zu diesem Artikel (0)
1352602