Thought Leadership
Spätestens angesichts der jüngsten Ereignisse im Cyberspace ist wohl auch dem Letzten klar geworden: Niemand kann wirklich sicher sein. Selbst Branchenriese Uber ist Ziel eines massiven Hacks geworden bei dem Daten von 57 Millionen Nutzern abgegriffen wurden.
Die zahlreichen Angriffe und Hackerattacken weltweit werden nicht weniger. Im Global Risk Report 2018 des World Economic Forums bewerten die Geschäftsführer und Vorstände der befragten Unternehmen Cybersicherheitsbedrohungen als größte Gefahr. Und die Bedrohungen nehmen nicht nur zu, sie werden auch komplexer.
Welche Gegenmaßnahmen kann eine Firma ergreifen, um zu verhindern, dass Kunden- oder Geschäftsdaten abgegriffen werden? Dazu kann man sich wie die meisten Organisationen, an einen vertrauenswürdigen IT-Sicherheitsbeauftragten oder eine externe Beratungsfirma wenden. Das ist in der Regel die beste Vorgehensweise. Aber bei der Einführung von Cybersicherheitskonzepten geht es nicht nur darum, Firewalls einzurichten und Dateien zu verschlüsseln. Es ist vielmehr eine Philosophie. Und die trägt nicht, ohne die Mitarbeiter umfassend zu schulen und ihnen die möglichen Konsequenzen bewusst zu machen, die sich aus der Nichtbeachtung von Richtlinien und Best Practices ergeben.
Was geht im Kopf eines Hackers vor? Letzten Endes besteht der erste Schritt zu einer wirksamen Verteidigung darin, das Vorgehen des Gegners zu verstehen. Ein Angriff auf Unternehmensdaten erfolgt nicht immer nach dem gleichen Muster und Hacker sind in ihren Herangehensweisen durchaus kreativ. Trotzdem.
Unabhängig davon wie einzigartig der konkrete Ansatz ist, die Durchführung eines Angriffs folgt immer einer generellen Methode:
1. Auskundschaften – Informationen einholen über das Ziel und dazu wie man in das Zielsystem gelangt.
2. Ausnutzen – Zugriff auf das System bekommen oder in das System eindringen.
3. Berechtigungen ausweiten – Sich weitergehenden Zugriff verschaffen, wie z. B. über Administratorrechte oder Konsolenbefehle.
4. Zurücklassen eines Listeners – um den Fortschritt des Hacks weiter zu beobachten und den Exploit gegebenenfalls zu einem anderen Zeitpunkt fortzusetzen.
5. Daten extrahieren – der eigentliche Angriff, bei dem die Daten abgezogen werden.
6. Spuren verwischen – Löschen erstellter Protokolle, Dateien oder Befehle, damit ein Systemadministrator sie nicht findet.
Will man einen Angriffsversuch vereiteln, hängt das im Wesentlichen davon ab wie gut Sie und Ihr System auf die ersten beiden Schritte vorbereitet sind. Wie genau kundschaften Hacker Computer aus und wie nutzen sie die gewonnenen Informationen im weiteren Verlauf des Angriffs? Hier finden Sie einige der gleichbleibend häufig genutzten, sehr effektiven Methoden, die man kennen sollte.
Schwachstellen scannen
Das Scannen von Schwachstellen eines Systems oder Netzwerks kann sehr einfach sein. Wie etwa sich mit einem WLAN-Netzwerk zu verbinden, in der Hoffnung, dass es ungesichert ist, oder das Analysieren der verschiedenen Kommunikationsprotokolle (HTTP, SMTP, TCP/IP, UDP usw.) im Hinblick darauf welches potenziell das verletzlichste ist.
Hacker durchstreifen Städte auf der Suche nach Ladengeschäften mit ungesicherten Netzwerken, verbinden sich mit dem POS-System und benutzen es anschließend als Gateway zum Hauptnetzwerk und zur Datenbank des Unternehmens. Angreifer suchen auch nach Schwachstellen im E-Mail-Server (SMTP) oder der Webseite (HTTP). Übliche Protokollschwachstellen hängen von einem offenen Port ab (z.B. Port 54, Port 143 oder Port 110), der Pakete für Daten und Kommunikation akzeptiert. Das offene Akzeptieren von Paketen kann dazu führen, dass Hacker den Server kompromittieren und von dort aus beispielsweise den Diebstahl von Kontoinformationen oder Unternehmensdaten vorantreiben.
SQL-Injektion
Die meisten Datenbanken werden mit einer strukturierten Abfragesprache (SQL) betrieben, um Daten in bestimmte Kategorien und Tabellen zu sortieren. Wenn eine SQL-Datenbank nicht geschützt ist, können Hacker eine Abfrage in das Front-End der Datenbank einfügen, wie z. B. ein Anfrageformular oder ein Login-Feld. Diese Abfragen greifen dann entweder auf verschiedene Benutzerkonten zu, extrahieren vertrauliche Informationen oder übernehmen sogar die Kontrolle über die Datenbank.
Physische Injektion / Injizieren bösartiger Dateien
Eine andere Möglichkeit, gefährlichen Code auf einem Server auszuführen, besteht darin, ein Programm direkt auf einem Computer oder Netzwerk zu installieren. Dies kann so einfach sein, wie das Einstecken eines Malware-verseuchten Flash-Laufwerks, oder etwas weniger direkt, z. B. wenn ein ahnungsloses Opfer ein Dokument oder PDF öffnet, das die Malware enthält. Dieses Dokument kann durch eine scheinbar harmlose E-Mail über Social Engineering oder durch das Herunterladen von einer manipulierten Website im Posteingang landen.
In der Regel verursacht die Malware keinen direkten Schaden an einem System, aber sie dient als Schlüssel, um es zu infiltrieren. Diese Dateien sind normalerweise Rootkits oder Listener.
Man-In-The-Middle
Ein Hacker kann die Unterhaltung zwischen einem Server und einem Client belauschen, indem er sich “in the middle“ (also dazwischen) schaltet. Dadurch, dass er sich sowohl als Client als auch als Server ausgibt, spooft der Hacker die IP-Adresse des Clients, um den Server dazu zu verleiten, Nachrichten an den Hacker, anstatt an den Client zu senden, und umgekehrt. Der Hacker leitet die Daten an den vermeintlichen Empfänger, um durch den Austausch auftauchende Verdachtsmomente zu vertuschen.
Betroffene Daten sind beispielsweise Anmeldeinformationen, Finanz- oder Kreditkartendaten, E-Mail-Inhalte und andere vertrauliche Daten.
Passwort knacken
Passwörter für die meisten, wenn nicht alle Konten in einer Datenbank werden normalerweise in einer einzigen Datei mit entsprechenden Benutzernamen gespeichert. Die eigentlichen klarschriftlichen Passwörter werden allerdings nicht in der Datei gespeichert. Sie werden in einen Hash umgewandelt – eine eindeutige Zeichenfolge, die dem gegebenen Passwort entspricht. Wenn ein Hacker diese Datei in die Finger bekommt, versucht er, diese Hashes mit einem Wörterbuch von Schlüsselwörtern oder einer Liste häufig verwendeter Passwörter (die weit häufiger vorkommen, als Sie denken) abzugleichen, in der Hoffnung, eine Übereinstimmung zu finden. Wenn ihm das nicht gelingt, können Wörterbuch oder Liste abgewandelt werden, sodass sie andere Outputs generieren, z.B. statt “Passwort” “p@ssw0rt123”. Und wenn alles andere fehlschlägt, bleibt noch ein Brute Force-Angriff. Dabei werden alle Zeichenkombinationen getestet, bis eine Übereinstimmung mit dem Hash gefunden wird. Dazu ist eine hohe Rechenleistung nötig, deshalb ist diese Art von Angriffen meistens der letzte Ausweg beim Passwort-Cracken.
Social Engineering
Dieser Hack ist anders, als die bereits beschriebenen, aber genauso effektiv. Der Hacker bringt dabei Schlüsselpersonen eines Unternehmens dazu, ihm die Informationen/den Zugang zu verschaffen, den er braucht. Statt Schwachstellen im System auszunutzen stützt sich diese Methode auf Überzeugungskraft und menschliche Fehler.
Beispielsweise „phisht“ oder hackt ein Angreifer die E-Mail oder das Konto eines unwissenden Vertriebsleiters in einem System. Mit diesen Daten gibt sich der Hacker als Vertriebsleiter aus und bittet seine Kollegen, ihm Zugriff auf wichtigere Daten zu gewähren. Oder der Angreifer lässt die Kollegen eine als Verkaufsreport getarnte Malware direkt auf ihren Computer herunterladen. Und schließlich bleibt noch der Weg, freimütig nach den gewünschten Daten zu fragen. Auch das hat schon funktioniert.
Sich allein auf Sicherheitslösungen wie Antivirensoftware zu verlassen, reicht längst nicht mehr aus. Angriffe kommen von fast allen Seiten, sei es über Netzwerke, Websites, Protokolle, Hardware, Software, die eigenen Kollegen … was auch immer. Auch wenn Dateien von Zeit zu Zeit gescannt werden, braucht ein Hacker nur wenige Augenblicke, um einzudringen, Daten zu extrahieren und spurlos zu verschwinden.
Jetzt haben Sie eine wenn auch sehr stark generalisierende Vorstellung vom Hacking-Prozess.
Autor: Anton Gesmundo ist Marketing- und Vertriebsexperte für Azeus Convene.
