In der letzten Woche war ich am ‚Hacking advanced‘-Seminar der Firma Hack Attack GmbH. Das Ziel dieses Seminar war die Einführung ins Penetration Testing. Dabei geht es darum, die EDV-Sicherheit einer Firma zu überprüfen, in dem man diverse Methoden durchführt, die auch Hacker anwenden. Das Seminar war in verschiedene Themen unterteilt, die nachfolgend kurz zusammengefasst sind.

Geschichte des Hackers

1969 brachen Studenten zu Testzwecken via Telnet erstmals in einen Server ein, um Daten aus der Datenbank zu lesen. 1985 bis 1990 wurden erste kriminelle Hacker-Angriffe ausgeführt. So hackte sich Tom Anderson 1985 in die Manhattan Bank. Danach kamen Viren, Würmer, DDoS Angriffe und vieles mehr. So wurde aus dem Hacking ein Geschäftsmodell in den Bereichen Spionage, Defacement, Diebstahl und Betrug sowie Security Beratung. Allgemein werden Hacker in White Hats (Security Berater), Black Hats (krimineller Hacker) sowie Script Kiddies (Anwender von fertigen Programmen) unterteilt. Bei den Angriffen wird zwischen Intern oder Extern sowie Strukturiert und Unstrukturiert unterschieden. Wenig überraschend gibt es auch fürs Hacking oder positiver ausgedrückt fürs Penetration Testing spezialisierte Linux-Distributionen, die mit diversen Software-Tools ausgestattet sind. Natürlich sind Hackerangriffe gesetzeswidrig und wer solche Tools verwendet, sollte genau wissen, was er damit anrichtet.

Footprinting

Know your Enemy! Dies ist bei einer strukturierten Vorgehensweise der erste und wohl auch wichtigste Schritt. Footprinting ist die Kunst, Informationen über die Zielsysteme zu sammeln. Dabei werden möglichst umfassende Kenntnisse über die Firma und deren Mitarbeiter, über das Netzwerk und über die eingesetzte Infrastruktur wie Hardware und Software erworben. Versuchen Sie mal möglichst viel mittels Google über eine Firma herauszukriegen. Verfeinert wird dies mit spezialisierten Webseiten wie whois.com oder dnsutils.com. Ein weiterer Schwerpunkt befasst sich mit Mitarbeiter-Informationen. Ist ein Mitarbeiter mit seinem Chef unzufrieden, so erfährt man dies sicher auf Facebook und Co. Und wussten Sie, dass es Webseiten gibt, die eine umfangreiche Archivierung von Websites bietet und man so schauen kann, wie die Webseite des March Anzeigers am 24. März 2003 aussah?

Google Hacking

Nein, natürlich ist dies kein Aufruf um Google zu hacken. Hier geht es um eine Methode, um unerkannt weitere Informationen und Daten zu gewinnen. Betroffen davon sind alle Geräte im Unternehmen, die eine öffentliche Web-Schnittstelle besitzen. Mittels Google Such-Operatoren lassen sich so verwundbare Seiten und Geräte finden. So war es uns im Seminar möglich, mittels Google-Suche Login-Masken für Drucker, Router, Webcams oder NAS-Geräte zu finden und einzuloggen.

Scanning, Vulnerability und Exploits

Beim Scanning wird die vorhandene Netzwerkstruktur aufgedeckt. Im Gegensatz zu den ersten beiden Schritten braucht es dazu jedoch Zugriff zum lokalen Netzwerk. Wie man sich diesen verschaffen kann dazu nachher mehr. Noch weiter geht das Vulnerability Scanning. Hierzu werden Sicherheitslücken in Betriebssystemen und Programmen von Computern, Netzwerkgeräten wie Router und Drucker oder Servern gesucht. Diese Scans übernehmen spezialisierte Software, die die Informationen mit einer Datenbank abgleicht. Auch dazu werden im Internet auf öffentlich zugänglichen Seiten Schwachstellen und Angriffsmöglichkeiten aufgelistet. Hier endet der Aufgabenbereich des Security Beraters und des Penetration Tests. Der Hacker nutzt die entdeckte Schwachstelle jedoch aus um in das System einzudringen. Im Seminar haben wir hierzu das Metasploit Interface genutzt, um eine bekannte Schwachstelle auf einem Windows XP Rechner auszunutzen. Vom Notebook im gleichen Netzwerk konnten wir so auf dem XP Rechner ein Administrator Konto erstellen. Selbstverständlich sind Sicherheitslücken in der Zwischenzeit ein grosses Geschäft. Bei Vupen Security erhält man ganz offiziell gegen viel Geld bekannte und weniger bekannte Sicherheitslücken. Der Dienst wird unter anderem von Staaten und Firmen in Anspruch genommen, die das nötige Kleingeld besitzen.

Hereinspaziert

Ein Zugriff auf ein System kann Remote, Local oder übers Internet geschehen. Dazu gibt es verschiedene Ansatzpunkte. Privatpersonen sind am Meisten übers Internet gefährdet. Dazu werden häufig fingierte Emails genutzt, um dem User Schadcode unterzujubeln. Webseiten sind aber auch direkt angreifbar. Der lange als vorbildlich geltende Firefox-Browser hat Mühe mit Cross Site Scripting. SQL-Injection greift hingegen die Webdatenbank an. Voraussetzung für solche Angriffe auf eine Website ist eine schludrige Programmierung. Eingaben, die der User machen kann, werden dabei zu wenig auf schädliche Java-Script Befehle oder SQL-Anweisungen überprüft. Ein perfider aber technisch aufwändiger Hack ist die Man-in-the-Middle Attacke. Befindet man sich innerhalb eines Netzwerkes, so lässt sich mit Wireshark der gesamte Netzwerk-Verkehr aufzeichnen. Dies gilt übrigens auch für unverschlüsselte Voice over IP Telefonate. Diverse Angriffe zielen auf die Grundbausteine der Netzwerktechnologie. Als Netzwerke in den 80er Jahren aufgebaut wurden, dachte noch niemand an mögliche Schwachstellen und Hackerangriffe. Aus dieser Zeit stammt auch das ARP-Protokoll, welches der physikalisch vorhandenen Netzwerkkarte (MAC-Adresse) eine IP-Adresse zuordnet. Mittels ARP Spoofing kann man nun dem Netzwerk falsche Zuordnungen vorgaukeln. Plötzlich ist für den Router der PC vom Meier nicht mehr der PC vom Meier sondern das Notebook vom Hacker Müller. Damit lässt sich also der Netzwerkverkehr über den Hacker-PC umleiten und auslesen. Auch dazu gibt es natürlich ein kostenloses Tool unter Linux.

Gibt es denn überhaupt sichere Systeme oder Technologien? Natürlich – aber meistens nur in der aktuellsten Version. Heikel sind dabei Abwärtskompatibilitäten. Ein Beispiel: Allgemein gilt im Wireless Lan (WLan) die WPA2 Verschlüsselung als sicher. Stimmt – allerdings nur für die aktuelle Verschlüsselung unter AES. Sobald man im WLan-Router die Verschlüsselung auf WPA2/WPA – Kompatibilität einstellt, wird die Verschlüsselungstechnik des alten WPA genutzt. Und hier lässt sich das Passwort auslesen und hacken. Passwort-Hacking ist dabei ein Thema für sich. Kurz gesagt muss ein sicheres Passwort mindestens aus 9 zufälligen Zeichen bestehen. Passwörter, die aus existierenden Wörter bestehen, sind innert Sekunden oder Minuten über eine Wörterbuchsuche entschlüsselt. Probleme mit älteren Versionen findet man auch beim VPN. Das Virtual Private Network wird häufig in Firmen eingesetzt, um dem Aussendienstmitarbeiter Zugriff aufs Firmennetzwerk zu gewähren. So sind PPTP und ältere Versionen von IPSEC IKE angreifbar.

Fazit

Das Seminar hat eindrücklich gezeigt, dass enorm viele Möglichkeiten bestehen, um in ein EDV-System einzudringen. Hiess es früher noch ‚Never touch a runnig System‘, so ist dies heutzutage der sichere EDV-Tod. Nur aktuell gehaltene Systeme bieten Schutz. Und jedes System ist nur so sicher, wie das schwächste Glied. Wird im Industrieumfeld aus Kompatibilitätsgründen ein Windows PC in der Werkstatt betrieben und hat dieser einen Netzwerk oder sogar Internetzugang, kann man genauso gut auf ein Abschliessen der Türen, Fenster oder Tore verzichten. Und da wäre ja noch der Faktor Mensch. Mittels gut recherchierter Mitarbeiteranalyse wird einem ausgewählten Mitarbeiter ein zugeschnittenes Email geschickt. Dieser klickt den Link für den vermeintlichen Golfevent an, wird auf eine präparierte Seite umgeleitet, die Schadcode herunterlädt und drin ist man. Natürlich nicht so einfach wie es tönt, aber für potente Angreifer ein durchaus lohnenswerter Weg.