Schädlinge bekämpfen, bevor Schäden entstehen

Feature | 8. August 2005 von admin 0

Hacker und ihre Werkzeuge – das beschränkt sich nicht nur auf scripte-zusammenfügende Teenies oder hochintelligente Tecchies, die – so das über die Medien vermittelte Stereotyp – Pizza essend und Cola trinkend nächtelang vor dem Bildschirm sitzen. Diese breite Masse verfügt in punkto Angriffstechniken, Netzwerk-Protokolle und Programmierung über nur sehr oberflächliche Kenntnisse und wird ein Unternehmen kaum gezielt angreifen. Ihrem Selbstverständnis nach “richtige” Hacker sind meist hochkarätige Experten, die der Hacker-Ethik folgend ohne kriminelle Absichten nach Sicherheitslücken suchen, sie analysieren und darüber in Fachkreisen publizieren.
Zu diesen beiden unkommerziell operierenden Gruppen gesellen sich weitere Hacker-Typen, die durch ihr Unwesen unter Umständen die Existenz von Unternehmen bedrohen. Zu den Reihen potentieller Angreifer zählen hier vor allem die klassischen Innentäter sowie die Wirtschafts- und Industriespione. Beide Gruppen verfügen zwar nur über mehr oder weniger hohes Know-How, dafür besitzen sie aber umso mehr kriminelle Energie. Vor diesem Hintergrund machen sie sich dann gezielt ans Werk, Unternehmen und ihre Daten auszuspionieren.

Angriffsmöglichkeiten durch typische Hackertools

Neben Werkzeugen für eher ungezielte Störattacken wie Denial-of-Service-Angriffe (D.o.S.-Attacken), die darauf abzielen, ein System abstürzen zu lassen, oder Programmteilen zum Generieren von Viren, zielen Hacker auch ab auf

  • das Ausspionieren oder Erraten von Passwörtern
  • das Verschleiern der Identität oder Vorgeben einer falschen Identität (Spoofing)
  • das Eindringen in entfernte Systeme und Ausspähen von Informationen

Im Internet stehen tausende von vorgefertigten Programmteilen zum Herunterladen bereit. Einige dieser Werkzeuge gelten als exemplarisch für ihre “Gattung” – Grund genug, sie kurz zu portraitieren.

Exploits

Exploit-Quelltext

Exploit-Quelltext

Unter “Exploits” versteht man kurze, meist nur im Quelltext verfügbare Programme, die eine einzelne Sicherheitsschwäche ausnutzen. Oft ist ein Exploit nur gegen eine einzige Rechner-Architektur wirksam. Um effektive Angriffe durchzuführen, müssen Exploits oft vom Anwender angepasst werden; teilweise werden die Programme durch die Profi-Hacker nur verstümmelt veröffentlicht, um es Laien zu erschweren sie zu verwenden.
Die Exploits Smbnuke.c und smbdie.exe
Mit Hilfe dieses Programms lassen sich Windows-Systeme über das Netzwerk zum Absturz bringen. Mittlerweile hat Microsoft effektive Patches zur Verfügung gestellt, dennoch gab es hier für längere Zeit ein hohe Verwundbarkeit.
Der ASN.1-Exploit
Dieser Exploit ermöglicht es, eine Reihe Windows-basierter Systeme (bis Windows Server 2003) zum Absturz zu bringen. Der Exploit wurde 2004 im Internet veröffentlicht, Patches waren naturgemäß erst später verfügbar. Ein Angriff mit dem ASN.1-Exploit setzt voraus, dass ein Zugriff auf den Microsoft Internet Information Server (IIS) und die Netbios-Schnittstelle des Zielsystems möglich ist. Das Ergebnis ist der Absturz des Programms lsass.exe, der wiederum den Absturz des Gesamtsystems verursacht.

Das Passwort-Rate-Programm “Brutus”

Errät Passwörter: Brutus

Errät Passwörter: Brutus

Brutus ist ein leicht zu bedienendes Werkzeug, um Passwörter zu erraten. Der Angreifer benötigt eine Liste möglicher Benutzernamen und ein Wörterbuch so genannter Passwort-Kandidaten. Mögliche Kombinationen Benutzername und Passwort werden der Reihe nach einfach ausprobiert. Der Einsatz ist besonders Erfolg versprechend, wenn der Angreifer über eine oder mehrere der folgenden Hintergrundinformationen verfügt: Liste gültiger Benutzernamen (Login-IDs) oder Bildungsregeln für IDs, das Mitarbeiter-Adressbuch mit E-Mail-Adressen, übliche Fremdsprachen oder Herkunftsland der Benutzer, zugrunde liegender Zeichensatz und schließlich die Frage, ob zwischen Groß- und Kleinbuchstaben unterschieden wird. Die Passwort-Listen lassen sich durch so genannte Mutationsfilter erweitern, diese Filter verwenden zum Beispiel folgende Befehle für die Passwortsuche: “Verwende das Wort rückwärts”, “Hänge an das Wort eine Ziffer an”, “Ersetze den Buchstaben ‚i’ durch die Ziffer ‚1’” oder “Wandle das Wort in Großbuchstaben um”.

Die Sniffer “Hunt” und “webmitm”

Angriffs-Schema

Angriffs-Schema

Der Sniffer Hunt bietet ein wirkungsvolles Verbindungsmanagement mit einfach lesbaren Aufzeichnungen für das “Spoofing”, das Verschleiern oder Verfälschen von Rechner-Adressen, und für anschließendes “Hijacking”, das Kapern einer Internet-Verbindung. Mit Hilfe dieses Programms und manipulierter DNS- und MAC-Adressen ist es beispielsweise möglich, sich in eine vermeintlich sichere SSL-Verbindung zwischen einem Bankkunden und dem Server einer Bank zwischenzuschalten und die Daten – in Form einer “Man-in-the-middle”-Attacke – über den eigenen Rechner laufen zu lassen. Mit dem Tool webmitm lässt sich ein Zertifikat anstelle des Originalzertifikats erzeugen und übertragen – die vermeintlich sichere, verschlüsselte Verbindung ist somit aufgebaut, die Login-ID und das Passwort können unverschlüsselt mitgelesen werden.

Schnell erhältlich, leicht bedienbar

Traditionelle gefährliche Stoffe wie Waffen, Sprengstoff oder Gifte sind nur mit entsprechenden Kontakten und mit einem höheren finanziellen Einsatz zu erhalten. Im Gegensatz dazu lassen sich Hacker-Werkzeuge kostenlos und ohne großen Aufwand über Suchmaschinen wie Google finden und nutzen. Sucht man beispielsweise nach Exploits in der Programmiersprache C, so ergibt die entsprechende Anfrage bei Google mehr als 30.000 Treffer. Die Qualität der fertig verfügbaren Werkzeuge ist so hoch, dass selbst ein interessierter Laie in kurzer Zeit in der Lage ist, ein fremdes System anzugreifen. Zwar muss ein richtiger, gezielt operierender Hacker in der Regel eine Reihe von Schwachstellen hintereinander nutzen, um einen effektiven Durchgriff in ein Firmennetz zu erzielen. Dennoch ist der Schaden, den bereits ungezielt angreifende Script Kiddies anrichten können, meist groß genug.
Technisch wäre es beispielsweise oftmals ein Leichtes, in einer Defacement-Attacke die Website eines Unternehmens zu hacken und einen Text einzustellen, in dem man den Kunden für die jahrelange Treue dankt, leider sei das Unternehmen insolvent und habe die Geschäftstätigkeit eingestellt. Schäden durch Script Kiddies, die Viren freisetzen, gehen durch die schnelle und weltweite Verbreitung leicht in die Millionen: die Schätzungen für den Melissa-Virus liegen zwischen 95 und 395 Millionen US-Dollar, I-love-you dürfte schätzungsweise sogar einen Schaden von mehr als 700 Millionen US-Dollar verursacht haben. Diese geradezu astronomischen Summen sind das Ergebnis der exponentiellen Ausbreitung. So infizierte der Nimbda-Virus allein in den ersten 24 Stunden etwa 2,2 Millionen Rechner. Einer Studie von Network Associates zufolge entsteht bei Unternehmen pro lahmgelegtem Rechner ein Schaden von etwa 5.000 Euro.
Genaue Zahlen über Schäden bei Unternehmen gelangen in der Regel jedoch nicht an die Öffentlichkeit. Ein Beispiel dafür ist der Prozess gegen den Autor der Würmer Sasser und Netsky. So erstatteten nach dessen Festnahme lediglich 143 Betroffenen Anzeige bei der Staatsanwaltschaft. Daher die “geringe” Schadenssumme von “nur” 130.000 Euro. Mit Sicherheit waren jedoch auch mittelständische oder größere Unternehmen von diesen Schädlingen betroffen. Diese scheuen aber den Weg in die Öffentlichkeit, um nicht zu dem eigentlichen Schaden noch einen Imageverlust wegen ihrer IT-Sicherheitslücken zu erleiden. Ohne Anzeige tauchen diese Schäden jedoch in keiner Statistik auf.

Abwehrmaßnahmen

Gerade für die hochkomplexen IT-Landschaften von Unternehmen ist es kaum möglich, sämtliche Risiken und Abwehrmaßnahmen aufzuführen. Neben Viren-Scannern, Firewalls und Intrusion-Detection-Systemen sollten auch folgende Sicherheitskriterien bedacht werden:
Zum einen gibt es immer wieder Sicherheitslücken in der verwendeten Software, gerade bei solchen Produkten, die millionenfach auf dem Markt vertreten sind. Existiert in einem Software-Produkt ein sicherheitsrelevanter Bug, so wird diese Lücke meist auch durch Zufall entdeckt. In der Regel wird hierüber in einer Sicherheits-Mailingliste oder in einem Forum berichtet, der Hersteller erhält eine Meldung und stellt in möglichst kurzer Zeit eine Softwarekorrektur zur Verfügung. Gleichzeitig jedoch arbeitet mit Sicherheit auch jemand im Untergrund daran, für diese Lücke einen Exploit zu erschaffen. Spätestens wenn dieser Exploit im Untergrund kursiert, ist die Gefahr hochaktuell. Unternehmen sollten beim Thema Softwarebugs und -patches auf jeden Fall “am Ball bleiben” und rasch für Updates sorgen. Die Überlebenszeit eines Servers ohne aktuelle Patches im Netz beträgt in manchen Fällen laut dshield.org gerade einmal 20 Minuten im Durchschnitt.
Zum anderen zeigen sich bei der Konfiguration häufig Schwachstellen in der Verteidigung. In einem komplexen System ist mit einer Standard-Konfiguration kein 100-prozentiger Schutz zu erreichen. Je komplexer das System, desto stärker muss es abgeschottet sein. Jede noch so kleine Nachlässigkeit in der Konfiguration schafft für Eindringlinge eine Lücke.
Nicht zuletzt ist der Mensch ein nicht zu unterschätzender Sicherheitsfaktor. Eine kleine Unbedachtheit kann große Folgen haben. Die Vergabe von Rechten sollte daher so restriktiv wie möglich gehandhabt werden. Die Mitarbeiter eines Unternehmens müssen in Sicherheitsfragen entsprechend geschult sein und ein hohes Gefahrenbewusstsein verinnerlicht haben. Nur so ist in dem fortwährenden Katz-und-Maus-Spiel von Angriff und Abwehr so etwas wie IT-Sicherheit zu gewährleisten.
Weiterführendes zum Thema Hacker-Angriffe: ein Interview mit Sebastian Schreiber über Test-Angriffe auf Unternehmensnetzwerke, die so genannten Penetrationstests.

Sebastian Schreiber

Sebastian Schreiber

Leave a Reply