AVANTEC Know-how

Wie Hacker vorgehen, Teil 1

Dies ist der erste Teil unserer Artikelserie über Hacking. Das Ziel ist, dass Sie als System-Administrator mehr Verständnis haben für die möglichen Vorgehensweisen von Hackern rsp. Crackern und so die Schwächen des eigenen Netzwerks besser erkennen und entsprechend handeln können. Dieser Artikel soll Sie jedoch in keiner Weise ermuntern, diese Informationen zu nutzen, um in fremde Systeme einzudringen.

Wer sind die Hacker?

hacker1 Die Bandbreite von Hackern über bösartige Hacker bis zu Crackern ist sehr gross, ebenso wie die Vielfalt der Beweggründe eines potentiellen Angreifers. Diese Angriffe können sowohl von Kids erfolgen, die es als intellektuelle Herausforderung ansehen, Lücken in fremden Systemen auszunutzen, ohne Schaden anzurichten, oder aber von Crackern, deren Ziel die Zerstörung von Daten ist. Ein anderes Ziel verfolgen Wirtschaftsspione bzw. die Konkurrenz, die sich für ganz spezifische Informationen interessieren und möglichst keine Spuren hinterlassen wollen (bei einer grossen öffentlichen Ausschreibung kann es beispielsweise sehr interessant sein, zu wissen, was die Konkurrenz geboten hat). Des Weiteren können Angriffe natürlich auch von intern kommen, beispielsweise von unzufriedenen oder aber ehemaligen Mitarbeitenden, die böswillig Daten manipulieren. Und nicht zu vergessen sind die versehentlichen, nicht bösartigen Hacks: wo wurden nicht schon unabsichtlich Daten gelöscht oder Einstellungen auf einem Server manipuliert? Meistens geschieht dies firmenintern, ist aber sogar auf dem Internet möglich: mittels raffinierter Search-Engine-Abfrage lassen sich beispielsweise ungeschützte phpMyAdmin Seiten finden.

Häufige Angriffsmethoden

Hier einige der möglichen Angriffsszenarien:

Fehlkonfigurationen: Eine der häufigsten Angriffsmethoden ist die Ausnutzung von fehlerhaft konfigurierten Firewalls, Routern und Servern. Gegenmassnahmen: Korrekte Konfiguration und diese auch regelmässig überprüfen.

Softwarefehler: Weitere häufige Angriffsmethoden erfolgen über Software-Bugs auf Applikationsebene, indem z.B. ein Buffer-Overflow gezielt genutzt wird, um den eigenen Code auszuführen. Da diese Angriffe lediglich erlaubte offene Ports benutzen, sind auch korrekt konfigurierte Firewalls machtlos. Gegenmassnahmen: Immer die neusten Releases einspielen (Webserver, Mailrelay, DNS etc.), siehe auch http://www.securityfocus.com sowie IDS (Intrusion Detection Systeme).
Viren/Trojaner: Ein versehentlich nicht erkannter Trojaner kann vertrauliche Informationen, Passwörter etc. nach aussen senden, ohne dass der Benutzer davon Kenntnis nimmt. Gegenmassnahmen: Dreistufige Antiviren-Software (beim Internet-Gateway, auf Mail/Fileservern und auf dem Desktop) für smtp, http und ftp mit regelmässig aktualisierten Patternfiles.
Remote Access: Ein fehlerhaft konfigurierter oder schlecht geschützter Fernzugriff via Dialup oder VPN kann ausgenutzt werden. Gegenmassnahmen: Korrekte Konfiguration, sichere Passwörter oder noch besser sichere Authentisierung mit Zertifikaten auf Smartcard oder USB-Token.
DoS (Denial of Service) rsp. DDoS (Distributed DoS) Attacken: ein Server wird mit gezielten Massnahmen mit Anfragen überflutet, sodass die Antwortzeit so weit absinkt, dass der Server faktisch ausser Betrieb ist. Gegenmassnahmen: Schwierig, bestenfalls weltweit verteilte Serverfarmen.
Social Engineering: Clever getätigte Anrufe eines vermeintlichen Benutzers beim Helpdesk („Ich hab mein Passwort vergessen, können Sie mir ein neues geben?" ist dabei nur die simpelste Variante) oder aber eines vermeintlichen Helpdesks beim Mitarbeitenden, allenfalls noch unter Verwendung des Namens des Administrators, der unter Whois oder auf der Homepage gefunden wurde („Hier Huber vom IT, wir hatten Hacker im System und sollten überall neue Passwörter definieren, ich mach das gleich für Sie, wie lautet Ihr altes Passwort?"). Auch haben Benutzer schon E-Mails erhalten mit der gespooften Absenderadresse des Administrators und der Aufforderung, das Passwort auf einen speziellen Wert zu setzen. Gegenmassnahmen: Alle Mitarbeitenden entsprechend instruieren.

Die 4 Schritte des Hacking resp. Cracking

Ein geplanter Angriff besteht oft aus den folgenden 4 Schritten:

1. Erkundungen einholen

2. Schwachpunkt finden und System angreifen

3. Vollen Systemzugriff erlangen und Tat ausführen

4. Alle Spuren verwischen

1. Erkundungen einholen

Alleine durch das Abfragen von öffentlich zugänglichen Quellen auf dem Internet kann ein potentieller Angreifer sehr viele Informationen sammeln:

Allgemeine Firmendaten finden sich beispielsweise im Handelsregister (www.zefix.ch) und natürlich auf der Homepage.
Kontaktinformationen zur Domain finden sich über eine Whois-Abfrage, inklusive E-Mail-Adresse des Administrators, denn oft ist der Username für ein Systemlogin identisch mit dem Teil der E-Mail-Adresse vor dem @-Zeichen. Telefon-/ Faxnummern des Administrators wurden früher auch verwendet als Ausgangsnummer für sogenannte Wardialers, d.h. Programme, die per Modem ganze Nummernbereiche systematisch anwählen, um offene Modems zu finden.
Viele Informationen sind auch über eine DNS-Server-Abfrage zu erfahren. Ein nslookup und ein Zonentransfer ls -d domain zeigt nicht nur eine Liste aller öffentlich zugänglichen Server, sondern teils auch Intranet- rsp. Extranet-Hosts. Tip: Split-DNS verwenden rsp. separaten internen Domain, Zonentransfers einschränken auf Secondary Nameserver (obwohl mit Reverse Lookup jeder IP-Adresse eines Netzes ebenfalls viel Information verfügbar wird).
Der Angreifer kennt nun viele öffentliche Server und mittels traceroute kann nun schon eine grobe Topologie der Borderrouter, der Firewall und der DMZ skizzieren. Tip: ICMP und UDP Verbindungen limitieren, um die Angriffsfläche zu minimieren.
Um an E-Mail-Adressen und somit mögliche Login-Namen zu kommen, werden auch Group Search Engines verwendet, um in Foren nach Nachrichten von Mitarbeitenden des Unternehmens zu suchen (z.B. wird unter groups.google.com nach @firma.com gesucht).
Über Whois kann auch festgestellt werden, für welche andern Domains ein Nameserver authoritativ ist, rsp. für welche weiteren Domains ein bekannter Contact-Handle zuständig ist. Diese Information wird auch benutzt, um sich als Mitarbeitender des andern (Partner-) Unternehmens auszugeben.

Alle obigen Daten wurden also durch öffentlich zugängliche Informationen gefunden, ohne dass illegale Schritte oder spezielles Hacker-Know-how nötig gewesen wären.

Lesen Sie weitere Artikel zum Vorgehen von Hackern im Bereich Know-how.