Wenn Unternehmen "Hacker" engagieren, um vorsätzlich das eigene Firmennetzwerk zu knacken, handelt es sich (hoffentlich) um hoch qualifizierte und vertrauenswürdige Angestellte einer Security Company, die ihr Geld unter anderem mit professionellen Schwachstellenanalysen (Security Assessments) und so genannten Penetration Tests verdienen.
Erfolgreiche Security Assessments zeichnen sich in der Praxis durch sorgfältige Vorbereitung dieser komplexen Dienstleistung aus. Vor den Tests müssen sich die beteiligten Parteien unter anderem darüber einig werden, auf welche Art und Weise die Rolle des Angreifers – eventuell verdeckt – simuliert wird. Eine detaillierte Vereinbarung sollte dabei wichtige Fragen und Vorgehensweisen klären, damit die Sicherheitsspezialisten während eines realistischen Angriffs auf das Ziel-Netzwerk nicht plötzlich mit einem Bein im Gefängnis stehen oder besorgte Administratoren, die einen massiven Angriffsversuch entdecken, das virtuelle Not-Aus für das Firmennetz aktivieren und damit wichtige Geschäftsprozesse lahm legen.
![[Screenshot: Portscan-Dialog]](29-1.jpg)
Ursache und Wirkung: Ein Port-Scanner auf dem Macintosh versucht eine Lücke auf einem Windows-2000-Rechner zu finden. Dort blockt eine Intrusion Detection Software (IDS) die Attacke: Der Angreifer wird mit einer "Can't connect"-Meldung zurückgewiesen.![[Screenshot: IDS-Event-Dialog]](29-2.jpg)
Welche Tests die bestellten "White Hat Hacker"
während eines externen oder internen Assessments
durchführen, ist je nach Erfahrung des Dienstleisters und
Wünschen des Kunden sehr verschieden. Für gewöhnlich
steht zunächst eine eher harmlose Erkundungstour an. Die
vermeintlichen Einbrecher analysieren dabei die Zielobjekte und
deren unmittelbare Umgebung, um festzustellen, welche Informationen
über die zu testende Netzwerkinfrastruktur auf legalem Wege zu
beschaffen sind, beispielsweise über öffentliche
Informationsquellen. Ein möglicher Ansatzpunkt sind die
WhoIs-Einträge des Deutschen Network Information Center
(DeNIC, ![[externer Link]](../../../../images/link.gif)
www.denic.de). Sind erst einmal grundlegende Daten
vorhanden, lässt sich mit entsprechenden Hilfsprogrammen sehr
schnell einschätzen, welche Dienste (zum Beispiel HTTP oder
FTP) ein Server über das Internet bereitstellt.
Schließlich beginnt das Assessment-Team mit genauen Untersuchungen der über das Internet erreichbaren IT-Komponenten des Auftraggebers, in erster Linie um mögliche Einfallstore für einen Angriff zu ermitteln. Hier spielt unter anderem die Konfiguration traditioneller Schutzmaßnahmen wie Firewall oder einer Demilitarized Zone (DMZ) eine entscheidende Rolle. Selbst wenn die zuständigen Administratoren diese Sicherheitsmaßnahmen gewissenhaft überwachen, gibt es immer noch zahlreiche Sicherheitslücken innerhalb des Netzes, die die Wirksamkeit solcher Datenschleusen aushebeln können.
Dazu zählen beliebte Instant Messenger Services wie ICQ, AIM oder MSN Messenger genau so wie ein spontan gestarteter Mittagspausen-Server für Netzwerkspiele vom Kaliber Half Life oder Counter Strike. Aber auch gewollte Remote-Access-Einwahlpunkte, beispielsweise für Außendienstmitarbeiter, stellen ein nicht zu unterschätzendes Risiko dar: Mittels so genanntem War Dialing lässt sich anhand bekannter Telefonnummern schnell und auf Knopfdruck ermitteln, an welcher Nebenstelle eines Unternehmens ein Modem auf einen Anruf wartet. Ein Hacker, der es auf ein bestimmtes Objekt abgesehen hat, geht die gleichen Wege, um die Schwächen seines Opfers kennen zu lernen. Daher sind bereits die Voruntersuchungen des Security-Assessment-Dienstleisters sehr nahe an der Realität.
Die nächste Eskalationsstufe des Test-Szenarios startet, wenn die externen Sicherheitsexperten das vorab gesammelte und verdichtete Wissen gegen die Zielsysteme einsetzen. Für diese Phase der Sicherheitsanalyse benutzen die Auftrags-Einbrecher oft die gesamte Palette der am Markt verfügbaren Hacking-Werkzeuge und -Methoden, um Firewalls oder andere Sicherheitsmaßnahmen eines Netzwerks zu umgehen. Dieser Teil des Tests spiegelt vor allem die alltäglichen Bedrohungen durch so genannte Script Kiddies oder auch Gelegenheitshacker wider, die sich ihre Zielobjekte im globalen Dorf eher willkürlich aussuchen. Haben sie in dieser einfachen Phase beim Opfernetz nicht innerhalb weniger Minuten oder Sekunden ein Erfolgserlebnis, so brechen die Cyber-Störenfriede die Attacke meist ab und begeben sich auf die Suche nach neuen Angriffsmöglichkeiten oder leichterer Beute. Die Attraktivität eines Netzwerks hängt in solchen Fällen übrigens nicht nur vom "guten Namen" ab; Mittelständler sind heutzutage ebenso wie Web-Server globaler Konzerne schonungslos unzähligen Port-Scans und Denial-of-Service-Versuchen ausgesetzt.
Wenn ein ungebetener Gast ernsthaft in ein Netzwerk eindringen will, dann lässt er sich von einfachen Abwehrmechanismen nicht abschrecken. Diese höhere Bedrohungsstufe muss ein Assessment-Team ebenfalls simulieren: Alle Ergebnisse der ersten Scan-Phase fließen nun in konkrete Versuche ein, um sämtliche Sicherheitsmaßnahmen des Kunden auf den Prüfstand zu stellen – häufig auch unter Einsatz selbst entwickelter Analysewerkzeuge. Dadurch zeigt sich, ob selbst durchdachte Konzepte wie eine DMZ einen mit den "richtigen" Methoden gezielt konstruierten Angriff auf Unternehmensdaten und deren Missbrauch nicht verhindern können.
----------Anfang Textkasten----------
Wenn heute in den Medien der Begriff Hacker fällt, so geschieht das meistens mit einem negativen Hintergrund. Dabei hat "Hacker" seinen Ursprung in den 60er Jahren am berühmten Massachusetts Institute of Technology (MIT) in Boston, und zwar als eine lobende Bezeichnung für einen Computerbegeisterten, der sich für die Funktionsweise von Programmen interessierte und mit diesem Wissen die Möglichkeiten der Software erweiterte.
Anfang der 70er Jahre sprang das Hacking von den
Universitäts-Mainframes auf die Telefonleitungen über:
John Drape alias "Captain Crunch" benutzte eine kleine
Plastik-Trillerpfeife aus einer Cornflakes-Packung, um die Systeme
der Telefongesellschaften zu überlisten. Die Pfeife erzeugte
einen Ton auf exakt 2600 Hertz, was wiederum die
Vermittlungscomputer der frühen Telekommunikatiosanbieter
veranlasste, eine freie und vor allem kostenlose Leitung für
ein Gespräch zu öffnen. Einer der ersten Hackerclubs in
den USA ist seitdem unter der einfachen Bezeichnung
"2600" bekannt – und für die Web-Allgemeinheit
zumindest noch informativ tätig ( www.2600.com).
Während von John Drape – der ironischerweise an einer
Intrusion Detection Software namens "CrunchBox" arbeitet
– bis auf eine sporadisch aktualisierte Website
( www.webcrunchers.com/crunch/) nichts mehr zu hören ist, haben
zwei andere ehemalige Telefon-Hacker (Phreaks) in vielerlei
Hinsicht immer noch einen entscheidenden Einfluss auf unsere
heutige Computer-Welt: Steve Wozniak und Steve Jobs begannen Ende
der Siebziger ihre Karriere mit der Kreation des "Homebrew
Computer Clubs" und dem leicht illegalen Bau von so genannten
"Blue Boxes", mit denen sich nach dem
Trillerpfeifenprinzip des Vietnam-Veteranen Captain Crunch sehr
einfach kostenlose Telefongespräche führen ließen.
Wenige Jahre später gründeten die Hacker mit den
Codenamen "Berkeley Blue" (Jobs) und "Oak
Toebark" (Wozniak) die gegenwärtig wieder bemerkenswert
erfolgreiche Firma Apple Computer. Deren Produkte haben
interessanterweise viel weniger Probleme mit Viren oder sonstigen
Sicherheitslöchern als handelsübliche Windows-PCs –
was aber durchaus auch an ihrer geringeren Verbreitung liegen
dürfte .
Seit Mitte der 90er Jahre und der zunehmenden Ausbreitung des Internets hat sich das digitale Auftreten eines typischen Hackers sehr verändert: In den Anfängen der Computer-Ära erhielten echte Hacker schnell einen legendären Ruf, und ihre Cyberspace-Aktionen versahen sie oft mit gesellschaftspolitischen Botschaften ("Cyberspace" ist übrigens eine Wortschöpfung des Science-Fiction-Autors William Gibson, die erstmals im Roman Neuromancer Verwendung fand). Die zwielichtigen Vertreter des 21. Jahrhunderts fallen üblicherweise lediglich durch schiere und scheinbar planlose Destruktivität auf. Manche Netzpuristen betonen allerdings immer noch die guten alten Werte der Hacker und fordern, die "Bösen" stattdessen als Cracker zu bezeichnen. Cracker-Tools findet man zwar heutzutage nicht mehr in Cornflakes-Verpackungen, die Büchse der Hacker-Pandora lässt sich dank suchmaschinenunterstütztem Informationsaustausch im weltweiten Netz allerdings noch leichter öffnen als zu Zeiten, in denen man zumindest noch die Telefonnummer einer Hacker-Mailbox wissen musste.
----------Ende Textkasten----------
Bis zu 80 Prozent aller erfolgreichen Angriffe finden aus dem firmeneigenen Intranet statt. Wenn Mitarbeiter mal einen Blick auf die Gehälter des Managements werfen wollen oder ein designierter Ex-Angestellter an seinem letzten Tag ein trojanisches Pferd im Netzwerk platziert, ist die Bereitschaft zum heimlichen Firmen-Hack schon längst gegeben. Auch solche Situationen lassen sich hervorragend durch einen internen Penetration Test abbilden: Das gemietete Hacker-Team beginnt dann mit dem durchschnittlichen Wissensstand eines Mitarbeiters und baut die Know-how-Basis durch Spionage-Tools ständig aus, um damit schließlich in gesicherte Netzbereiche vorzudringen.
Derartige Angriffe sind auch im wirklichen Leben für einen ambitionierten Zeitgenossen kein Problem: Im Internet gibt es Tausende von Programmen, die dabei helfen, die (oft schlechten) Passwörter von geschützten Domains oder Office-Dokumenten innerhalb kurzer Zeit zu knacken. Lassen die Sicherheitsrichtlinien des Unternehmens die unkontrollierte Softwareinstallation auf Arbeitsrechnern zu? Dann steht den Hacker-Tools nichts entgegen. Werden Content-Filter zur Aussparung bestimmter Internetinhalte eingesetzt? Falls nicht, hat ein ehrgeiziger Angestellter uneingeschränkten Zugang zu dunklen Informationsquellen, die ihn innerhalb weniger Minuten mit gefährlichem Know-how und noch gefährlicherer Software ausstatten. Erschreckend aber wahr: Ohne die Analyse aus Sicht der eigenen Mitarbeiter wird die bisher gelebte IT-Sicherheit leicht zur Makulatur.
Neuerdings kommt ein noch schwerer berechenbares Umfeld dazu: Wireless Local Area Networks (WLANs). Wie die vergangene CeBIT 2002 kurzzeitig als größte HotSpot-Area der Welt gezeigt hat, sind Funknetze zwar kurz vor dem Sprung in den Massenmarkt, meist aber leider ziemlich unsicher. Die Demonstration der alles andere als lückenlosen Sicherheit des CeBIT-WLANs brachte einigen bekannten Netzwerkfirmen einen unrühmlichen Eintrag auf der Homepage einer kleinen Hackergruppe ein, die sich während der Messe in Hannover live in einige Funkstrecken einklinkte. Wirklich neu ist diese Erfahrung allerdings nicht: Etliche Security-Experten weisen immer wieder darauf hin, dass bei WLANs in Bezug auf Sicherheit dringender Handlungsbedarf besteht (vgl. KES 2001/1, S. 50). Wenn ein Unternehmen seinen Mitarbeitern die Flexibilität von Wireless LANs nicht vorenthalten will, sollten auch die Funkstrecken nicht vor Hack-Versuchen durch einen kompetenten Service-Partner verschont bleiben.
Eine Prüfung der drahtlosen Netzanteile besteht im Wesentlichen darin, die generellen Sicherheitsvorkehrungen des Funknetzes mit Security-Standards abzugleichen. Viele WLANs verbreiten ihre Daten immer noch im Klartext, obwohl es inzwischen leistungsfähige und komfortable Verschlüsselungslösungen gibt. Aber auch die Zählung und Lokalisierung von Access Points hat beim WLAN-Assessment eine wichtige Bedeutung. Etliche Dienstleister bieten zudem ein unangekündigtes "Drive-by-Hacking" an, bei dem sie vorhandene WLAN-Schutzmechanismen durch Abfangen der per Funk übertragenen Daten zu umgehen versuchen.
Sind alle Untersuchungen abgeschlossen, erstellt der beauftragte Dienstleister detaillierte Berichte, in denen alle gewonnenen Erkenntnisse und Empfehlungen zusammengefasst sind. Da nicht zuletzt die Qualität des Outputs den Erkenntnisgewinn und die Folgerungen aus einem Assessment beschränken, sollte man bereits bei der Auswahl eines Dienstleisters beispielhafte oder anonymisierte Berichte der in Frage kommenden Anbieter miteinander vergleichen. Diese Reports sollten neben technischen Details für die Security-Verantwortlichen auch eine Zusammenfassung des Risikostatus und wichtiger Impulse für die Managementebene enthalten.
Security Assessments können sich durchaus über einige Wochen erstrecken – als Ergebnis bekommt das getestete Unternehmen jedoch wertvolle Hinweise auf Lücken und dem damit verbundenen Gefahrenpotenzial im eigenen Netzwerkschutzgürtel. Und selbst wenn nach einer Untersuchung alle entdeckten Gefahrenherde beseitigt sind, arbeitet die schnell tickende Uhr des globalen Netzes gegen die System-Administratoren: Jeden Monat werden hunderte von Schwachstellen in Programmen und Betriebssystemen entdeckt, neue Viren oder Mutationen bekannter Plagegeister im globalen Dorf ausgesetzt, es bewaffnen sich mehr oder weniger gefährliche Individuen mit frei zugänglichen Tools und riskantem Hintergrundwissen – nur, um irgendwann dieses zweifelhafte Know-how am "lebenden Objekt" auszuprobieren.
Penetration Tests und Schwachstellenanalysen sind Schutzmaßnahmen gegen die tägliche Bedrohung der E-Business-Aktivitäten. Wer seinem Netzwerk regelmäßig einen solchen Gesundheitscheck durch anerkannte Profis gönnt, leistet daher einen wesentlichen Beitrag für einen aktiven und wirksamen Unternehmensschutz und senkt sein Risiko, als Opfer einer Attacke in Newstickern oder auf Titelseiten zu erscheinen.
Florian Tinnus, Key Account Manager bei Internet
Security Systems Deutschland ( www.iss.net).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 29
