Hacker sind die Bösen! Hacker sind darauf aus, möglichst viel
Schaden anzurichten und bedrohen das Internet und jeden Rechner,
der daran angeschlossen ist! Also gilt es, Hackern möglichst schnell und
nachhaltig das Handwerk zu legen ...
Okay, Schluss damit! Die obige Aussage ist natürlich Unsinn!
Tatsache ist, dass wir Hackern diverse geniale Programme und Tools
verdanken. Kennen Sie Linux? Nun, wer nicht? Wissen Sie, wer es entwickelt
hat? Linus Torvalds, ein finnischer Student, der sich nicht damit
abfinden wollte, dass AT&T den Quellcode zu UNIX nicht freigeben
wollte und ein System benötigte, das besser auf seine Anforderungen
zugeschnitten war. Daraus entstand Linux (Linus+X). Und auch wenn
die meisten »Rechtschaffenen« unter uns Torvalds einen »Entwickler«
nennen würden, so versteht er sich selbst doch als »Hacker«.
Es gibt also jede Menge Begrifflichkeiten zu unterscheiden. In
diesem Kapitel legen wir die Grundlagen für Ihr Verständnis von
Hacking und Penetration Testing. Sie lernen insbesondere Folgendes:
In diesem ersten Kapitel beschäftigen wir uns mit den Grundlagen
des Hackings. Damit Sie verstehen, was ein Hacker überhaupt ist
und wo das Wort Hacking herkommt. Sie werden zudem erfahren, welche
verschiedenen Hacker-Typen es gibt und wie die Ziele der Hacker
aussehen. Sie lernen, was sich hinter dem Ethical Hacking verbirgt
und warum Sie sich diesen Ehrencodex zu Eigen machen sollten.
Darüber hinaus betrachten wir auch die andere Seite. Die Schutzziele
geben Aufschluss darüber, gegen welche Gefahren wir uns schützen
wollen. Letztlich geht es darum, Computersysteme und -netzwerke
sicherer zu machen. Der Weg ist also das Hacking, das Ziel jedoch,
die IT-Sicherheit zu erhöhen. Daher werden wir ein großes Augenmerk
auf den Schutz der gefundenen Schwachstellen und Angriffsvektoren
legen.
Den Abschluss dieses Kapitels liefern einige bekannte Hacking-Beispiele,
die Ihnen schon einmal einen gewissen Bezug zur Realität zeigen.
Im Laufe dieses Buches lernen Sie noch viele weitere Möglichkeiten
kennen, wie Computersysteme angegriffen werden können. Dabei gehen
wir auch immer wieder auf bereits bekannte Angriffe ein und beschreiben
diese.
1.1 Was
ist Hacking?
In der heutigen Zeit von Informationstechnologien und Vernetzung
spricht man von einem »Hacker«, wenn es um eine Person geht, die
sich Zugriffe zu Netzwerken, Systemen und Anwendungen verschafft.
Ohne dass der Besitzer der jeweiligen Einrichtungen ds beabsichtigt
hat. Doch das war nicht schon immer so.
Wo kommt denn dieses Wort überhaupt her und was ist denn Hacking
eigentlich? Der Begriff »Hacking« kommt aus einer Zeit, in der nicht
Netzwerke und Computersysteme im Fokus standen. Denn damit hatte
der Begriff erst mal gar nichts zu tun. Es ging vielmehr darum,
sich so intensiv mit einer bestimmten Technik zu beschäftigen, dass
man einen Weg findet, scheinbar Unmögliches machbar zu machen. Auf
Deutsch hätte man das Wort »Tüftler« verwendet.
Ein Hacker war jemand, der mithilfe von ein paar Streichhölzern,
einem Gummi und einem Bleistift einen Fernseher bauen kann. Oder
war das MacGyver? :-) Spaß beiseite. Tatsächlich war ein Hacker
ursprünglich einfach nur jemand, der sich sehr intensiv mit einer
Technologie auseinandergesetzt hat, um sie zu begreifen, für sich
nutzbar zu machen und ggf. zu verbessern. Ein Hacker ist nichts
Bedrohliches oder Böses an sich. Dieser Ruf kam erst später durch
die Medien und als es die ersten Einbrüche in fremde Systeme gab.
Heutzutage hat ein Hacker in der Öffentlichkeit kein gutes Ansehen,
man verbindet den Begriff in der Regel mit einem Verbrecher, der
gegen das Gesetz handelt. Doch das stimmt so nicht zwangsläufig.
Aber wie kommt denn nun dieses Bild vom Hacker, der in fremde
Computersysteme eindringt und allerlei Schaden anrichtet, zustande?
Nun, zweifelsfrei haben Hacker eines gemeinsam: Sie sind neugierige
Menschen, die neue Wege suchen, insbesondere mit Computersystemen
zu arbeiten! Und einige von ihnen sind scharf auf Informationen.
Dabei ist es zunächst einmal zweitrangig, ob ein Computersystem
diese Informationen freiwillig bereitstellt oder nicht. Im Gegenteil
versprechen gut geschützte Computer und Netzwerke sogar interessantere
Informationen – proportional steigend zu den Schutzmaßnahmen.
Und so waren es natürlich auch gerade die Hacker mit ihrem tiefgreifenden
Wissen über Computersysteme und -netzwerke, die, oftmals aus purer
Neugier, Wege in diese Systeme gesucht und gefunden haben. In vielen
Fällen wurden die gefundenen Schwachstellen dem jeweiligen Eigentümer bekannt
gemacht und die möglicherweise gefundenen Daten und Informationen
gar nicht verwendet – es ging nur um die Machbarkeit eines Einbruchs.
Aber wie es so ist, nutzen nicht alle ihr außerordentliches Wissen,
um Gutes zu tun, diese Welt sicherer zu machen oder interessante
Software unentgeltlich zur Verfügung zu stellen. Stattdessen unterliegen
sie der Verlockung, ihr Expertenwissen für sich selbst zu nutzen,
um sich zu bereichern.
Und genau hier grenzen sich die einzelnen Hacker-Typen voneinander
ab. Denn der traditionelle Hacker im oben beschriebenen Sinne möchte
keinesfalls in einen Topf mit diesen Kriminellen geworfen werden.
Daher wird der »böse« Hacker auch generell als »Cracker« bezeichnet.
Doch dies ist nur eine sehr globale Kategorisierung. Für eine fundierte
Unterscheidung derjenigen, die sich mit dem Thema »Hacking« intensiver
beschäftigen, müssen wir etwas weiter in die Tiefe gehen und neben
der Motivation auch die Qualität der Tätigkeit betrachten.
1.2 Die
verschiedenen Hacker-Typen
Bestimmt kennen Sie aus diversen Blockbustern die schwarzen Gestalten,
die hinter einer Wand von Bildschirmen sitzen und nur von den kryptischen,
grünen Zeichen beleuchtet werden, die über die Monitore rasen. Auch
wenn dieses gängige Klischee tatsächlich durchaus vereinzelt bedient
wird und einige Zeitgenossen auf diese Art arbeiten, gibt es doch
auch ganz andere Inkarnationen der Hacker-Zunft.
Es finden sich nämlich genauso Hacker, die mit Anzug und Krawatte
bei namhaften Firmen ein- und ausgehen, um deren Sicherheit zu testen.
Diese Leute haben auch eine Hacking-Ausbildung, nutzen ihr Wissen
allerdings nicht, um Schaden anzurichten, sondern um genau davor
zu schützen – man nennt sie auch Penetrationstester bzw.
kurz: Pentester. Tatsächlich gibt es aber auch böse Jungs, die Anzug
und Krawatte tragen. In bestimmten Situationen gilt: Kleider machen
Leute. Und wer z.B. in einer Bank ein Computer-Terminal hacken möchte,
tut gut daran, optisch nicht aufzufallen. Auch für das Social
Engineering, bei dem Informationen über Menschen anstatt über
Technik gewonnen werden, ist das Auftreten oft ein wichtiger Aspekt.
Näheres hierzu finden Sie in Kapitel 20 Social Engineering.
Nachfolgend eine Übersicht über die wichtigsten Hacker-Klassifikationen.
Scriptkiddies
Sie
haben wenig Grundwissen und versuchen, mithilfe von Tools in fremde
Systeme einzudringen. Dabei sind diese Tools meist sehr einfach
über eine Oberfläche zu bedienen. Die Motivation ist meistens Spaß
und die Absichten sind oft krimineller Natur. Oftmals möchten Scriptkiddies
mit ihren Aktionen Unruhe stiften. Die Angriffe sind meist ohne
System und Strategie. Viele Hacker starten ihre Karriere als Scriptkiddie,
nutzen die Tools zunächst mit wenig Erfahrung, lernen aus dem Probieren,
entwickeln sich weiter und finden dadurch einen Einstieg in die
Szene.
Black Hats
Diese
Gattung Hacker beschreibt am ehesten die Hacker, die man aus den
Medien kennt. Hier redet man von Hackern mit bösen Absichten. Sie
haben sehr gute Kenntnisse und greifen bewusst und strukturiert
Unternehmen, Organisationen oder Einzelpersonen an, um diesen Schaden
zuzufügen. Die Ziele der Black Hats sind vielfältig und reichen
vom einfachen Zerstören von Daten bis hin zum Diebstahl von wertvollen
Informationen, wie Kontodaten oder Unternehmensgeheimnissen. In
manchen Fällen reicht es den Black Hats auch, wenn sie erfolgreich
die Server ihres Opfers lahmlegen und damit Sabotage verüben.
White Hats
Einen White
Hat Hacker nennt man oft auch einen Ethical Hacker. Er
nutzt das Wissen und die Tools eines Hackers, um zu verstehen, wie
Black Hats bei ihren Angriffen vorgehen. Im Gegensatz zum Black
Hat will der White Hat jedoch die betreffenden Systeme letztlich
vor Angriffen besser schützen und testet daher die Schwachstellen
aktiv aus. Damit hat ein White Hat Hacker grundsätzlich keine bösen
Absichten, im Gegenteil, er unterstützt die Security-Verantwortlichen
der jeweiligen Organisation. White Hat Hacker oder Ethical Hacker
versuchen im Anschluss an ihre Hacking-Tätigkeit, herauszufinden,
welche Sicherheitslücken es gibt, und geben eine Anleitung dazu,
diese möglichst effizient zu schließen.
Penetrationstester (Pentester)
Zu
den White Hat Hackern gehören auch die sogenannten Penetrationstester.
Hier steht grundsätzlich ein Auftrag im Hintergrund eines Angriffs.
Pentester werden angeheuert, um ein bestimmtes System auf Herz und
Nieren zu testen. Hier wird sehr systematisch nach Schwachstellen
gesucht. Ein Penetrationstester hat eine ausdrückliche Genehmigung
für sein Tun. Am Ende seiner Arbeit steht ein Bericht zur Verfügung,
in dem alle gefundenen Schwachstellen dem Auftraggeber aufgezeigt
werden. Dieser hat dann die Möglichkeit, die Lücken zu schließen,
bevor die Black Hats ihr Glück versuchen ...
Grey Hats
Genauso
wie die Farbe Grau zwischen Schwarz und Weiß liegt, so liegen die
Grey Hats zwischen den Black und den White Hat Hackern. Mal haben
sie gute, mal schlechte Absichten. Je nachdem was ihnen gerade lukrativ
erscheint. Ein Grey Hat ist nicht grundsätzlich böse, nimmt es mit
der Ethik aber auch nicht unbedingt so genau.
Cyber-Terroristen
Dies
sind organisierte Gruppen, die sich gegen bestimmte Dinge auflehnen
und mithilfe des Internets und seiner Technologien Angriffe durchführen.
Dabei versuchen sie, möglichst viel Schaden anzurichten. In vielen
Fällen ist ihr Tun politisch oder auch religiös motiviert.
Staatlich unterstützte
Hacker
Hierbei handelt es sich um Hacker, die im Auftrag einer Regierung
agieren. Sie wurden speziell ausgebildet und versuchen, als Agenten
beispielsweise an geheime Informationen zu kommen. Das Einsatzgebiet
kann der Kampf gegen den Terror sein oder auch das Sammeln von Informationen
über einen Gegner in Konfliktsituationen. Insbesondere die USA,
Russland und China sind hier sehr aktiv.
Suicide Hacker
Der
CEH (Certified Ethical Hacker) beschreibt hier eine Ausprägung des
Hackings, bei dem der Angreifer ohne Rücksicht auf Verluste vorgeht
und dabei auch sich selbst der Gefahr aussetzt, entdeckt zu werden.
Dabei handelt es sich ggf. nicht wirklich um Profis, sondern eher
um Verzweiflungstäter, die jedoch aufgrund ihrer Kompromisslosigkeit
kurzfristig hocheffektiv ihre Ziele erreichen können.
Hacktivisten
Werden
Systeme, insbesondere Webserver, im Internet gehackt, um auf politische
Inhalte hinzuweisen und zu protestieren, sprechen wir von Hacktivismus oder Hacktivisten.
Dabei werden in der Regel die originalen Webinhalte durch eigene
Inhalte ersetzt. Diesen Prozess nennt man auch defacen (von engl. Face =
Gesicht). Weitere Methoden der Hacktivisten sind Denial-of-Service-Angriffe und E-Mail-Spamming.
Die bekannteste Hacktivist-Gruppe kennen Sie vielleicht sogar schon,
die Rede ist von Anonymous.
Oft ist es nicht einfach, zwischen den verschiedenen Typen zu
unterscheiden. Ein Black Hat Hacker kann genauso auch ab und zu
ein Hacktivist sein und ein White Hat arbeitet oft auch als Penetrationstester.
Wichtig ist, zu wissen, dass nicht alle Hacker dieselben Absichten
haben und es Hacker mit unterschiedlichsten Motiven gibt. Gutes
Stichwort ...
1.4 Ethical
Hacking
Sie lernen in diesem Buch eine ganze Menge über das Hacking.
Dieses Wissen können Sie für die verschiedensten Zwecke einsetzen.
An dieser Stelle möchten wir jedoch noch einmal ganz ausdrücklich
an Ihren ethischen Kompass appellieren!
Was du nicht willst, das
man dir tu’ ...
Das Ziel dieses Buches ist offensive IT-Sicherheit. Das
bedeutet, dass Sie als jemand, der sich mit den Methoden und Techniken
der bösen Jungs (und Mädels) auskennt, Ihr Wissen nutzen, um die Sicherheit
von Computersystemen zu erhöhen, indem Sie deren Schwachstellen
aufdecken und helfen, diese zu beseitigen. Dies wird als Ethical
Hacking bezeichnet. Es dient ausschließlich der Sicherheit von
Computersystemen und bezeichnet den verantwortungsvollen Umgang
mit dem Know-how des Hackings.
Als Ethical Hacker verpflichten Sie sich, Schaden von Computersystemen
abzuwenden und niemals absichtlich zu verursachen. Sie handeln nach
dem Motto: »Was du nicht willst, das man dir tu’, das füg’ auch
keinem anderen zu!«
Lernen Sie so viel über das Hacking wie möglich und seien Sie
immer neugierig – doch die Freiheit des einen hört dort auf, wo
die Freiheit des anderen eingeschränkt wird! Greifen Sie niemals
ohne schriftliche Genehmigung und eindeutige Auftragsklärung fremde
Systeme an. Das Wissen über theoretische und praktische Hacking-Technologien
verpflichtet. So wie ein Kampfsportler seine Fähigkeiten nur im
Ring bzw. auf der Matte und nicht auf der Straße anwenden darf,
so bleibt ein Ethical Hacker immer im ethischen und rechtlichen
Rahmen des Erlaubten. Gutes Stichwort, dazu gibt es noch etwas Wichtiges
zu erläutern.
Der Hacker-Paragraf
Im
Jahr 2007 wurde im Rahmen der »Strafvorschriften zur Bekämpfung
der Computerkriminalität« der Paragraf 202c des Strafgesetzbuches
(StGB) eingeführt. Er lautet folgendermaßen:
(1) Wer eine Straftat nach § 202a oder
§ 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen
Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht, wird
mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Das umfasst grundsätzlich auch die Hacker-Tools, deren sich nicht
nur die bösen Jungs, sondern auch Administratoren und Sicherheitsbeauftragte
bedienen, um die Sicherheit von Computersystemen und -netzwerken
zu erhöhen. Bevor Sie jetzt jedoch aus rechtlichen Bedenken dieses
Buch zuschlagen und sich dem Fernsehprogramm widmen, dürfen wir
Sie beruhigen: Auch wenn der Wortlaut hier leider sehr schwammig
ist und eine weitgefasste Auslegung zulassen würde, so dient der
Paragraf seinem Inhalt nach nur der Vereitelung von Straftaten.
Die bisherige Rechtsprechung zeigt, dass die Verwendung dieser
Tools zur Erhöhung der Sicherheit von IT-Infrastrukturen keine Strafverfolgung
nach sich zieht. Dennoch bleibt eine gewisse rechtliche Unsicherheit.
Der entsprechende Wikipedia-Artikel ist sehr aufschlussreich und
einen Blick wert: https://de.wikipedia.org/wiki/Vorbereiten_des_Ausspähens_und_Abfangens_von_Daten.
Sichern Sie sich beim Hacking bzw. Penetration Testing in fremden
Umgebungen immer schriftlich und umfangreich ab, indem Sie Art und
Umfang Ihrer Tätigkeit (bzw. des Penetrationstests) ganz genau beschreiben
und anschließend auch ausführlich dokumentieren.
1.5 Der
Certified Ethical Hacker (CEHv12)
Dieses Buch versteht sich als eine fundierte, praxisorientierte
Einführung in das Thema »Ethical Hacking«. Es ist an die Inhalte
der Prüfung zum Certified Ethical Hacker (CEHv12) angepasst
und stellt somit eine wertvolle Ressource für Ihre Vorbereitung
auf das Examen dar. Auch wenn der Fokus nicht primär auf der Prüfungsvorbereitung
liegt, werden wir im Laufe des Buches immer wieder Hinweise zur
Prüfung geben. An dieser Stelle möchten wir Ihnen einmal kurz den
CEH vorstellen.
1.5.1 Was
steckt dahinter?
Der Certified Ethical Hacker ist eine herstellerunabhängige
Zertifizierung, die vom EC-Council (www.eccouncil.org)
entwickelt und angeboten wird. Dahinter verbirgt sich eine Organisation,
die sich auf Zertifizierungen im Hacking- und Security-Bereich spezialisiert
hat.
Der CEH ist mittlerweile in der Version 11 verfügbar (siehe hierfür https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/cehv12-new-learning-framework/).
Er stellt eine anspruchsvolle Basiszertifizierung für angehende
Ethical Hacker und Penetrationstester dar, die durch weitergehende
Zertifizierungen ergänzt wird. So steht seit dem CEHv10 optional
eine ergänzende CEH-Practial-Zertifizierung zur Verfügung. Dabei
handelt es sich um eine praktische Prüfung, bei der der Kandidat
seine Hacking-Kenntnisse in einer praxisnahen Laborumgebung unter Beweis
stellen muss. Inzwischen führen diese beiden Prüfungen zusammen
zum CEH Master, um den Mehrwert hervorzuheben (https://www.eccouncil.org/train-certify/ceh-master/).
Wer sich darüber hinaus noch weiter in den professionellen Bereich
begeben möchte, kann über den EC-Council Certified Penetration
Testing Professional (CPENT) den nächsten Schritt gehen und auch
die Expert-Level-Zertifizierung zum Licensed Penetration Tester (LPT)
absolvieren, der allerdings hohe Einstiegshürden aufweist. Mittlerweile
bietet das EC-Council eine Vielzahl von Zertifizierungen und Zertifizierungspfaden
an.
Das Curriculum des CEHv12 umfasst insgesamt 20 Module, deren
Inhalte in diesem Buch abgedeckt sind. Es wird ein breites Themen-Spektrum
mit diversen Konzepten und unzähligen Tools abgearbeitet, wobei
es hauptsächlich um Konzepte und Technologien geht und weniger darum,
alle der vorgestellten Tools bis ins Detail zu beherrschen. Den
Prüfling erwartet ein intensives Studium, das ein hohes Engagement
und intensive Einarbeitung voraussetzt, um alle behandelten Themen
in ausreichender Tiefe zu beherrschen.
Neu im Angebot des CEHv12 sind eine höhere Praxisorientierung
und Unterstützung nach der eigentlichen Prüfung. ECCouncil nennt
das »Learning Framework« und unterteilt das Lernsystem in vier Stufen:
Learn: Der Teilnehmer absolviert den
Kurs oder lernt im Rahmen des Online-Kurses.
Certify: Der Teilnehmer absolviert die Prüfung.
Engage: Der Teilnehmer kann seine Skills in Capture-The-Flag-Umgebungen
(CTF) praktisch trainieren
Compete: Im sogenannten »Hackerverse« werden monatliche CTF-Challenges
bereitgestellt, in denen die Kandidaten gegeneinander antreten und
Punkte im Leaderboard sammeln können.
Insgesamt wurde das Angebot damit deutlich aufgewertet.
1.5.2 Die
CEHv12-Prüfung im Detail
Zur CEHv12-Prüfung werden
Sie unter einer der folgenden Bedingungen zugelassen:
Sie absolvieren einen der offiziellen
(und nicht gerade günstigen!) CEH-Kurse. Damit sind Sie automatisch
qualifiziert für die Prüfung.
Sie reichen ein »Egilibility Form« (ein Formular für die
Zulassung zur Prüfung) ein und weisen nach, dass Sie mindestens
zwei Jahre Erfahrung auf dem Gebiet der IT-Sicherheit haben. Diese Zulassungsprüfung
kostet Sie derzeit 100 Dollar – unabhängig vom Ausgang der Prüfung.
Im Gegensatz zum Themenspektrum und dem Inhalt des CEH-Curriculums
ist die Prüfung derzeit eher geradlinig gehalten:
Anzahl der Fragen: 125
Maximale Testdauer: vier Stunden
Test-Format: Multiple Choice mit nur einer richtigen Antwort
Test wird angeboten über: VUE-Testcenter oder ECC-Online-Examen
Test-Nummer: 312-50
Es gibt eine Aufschlüsselung in Themenkomplexe und deren Schwerpunkte,
aber diese wird in regelmäßigen Abständen geändert. Die Prüfung
wirkte in der Vergangenheit mitunter unausgeglichen. Ein bisher
überdimensionierter Schwerpunkt lag auf Nmap-Befehlen und auf kryptografischen
Konzepten. Dies ist jedoch keine Garantie für Ihren Prüfungszeitpunkt.
Von daher empfehlen wir Ihnen, sich im Internet in einschlägigen
Foren Informationen zur Prüfung einzuholen, wenn Ihr Prüfungszeitpunkt
konkret wird.
Unter dem Strich ist die Zertifizierung zum CEH eine gute Ergänzung
zur Schärfung Ihres Profils und kann Ihre Karrierechancen deutlich
verbessern. Sie ist allerdings mit derzeit 950 bzw. 1200 Dollar sehr
teuer. Der Preis ist abhängig davon, ob Sie die Prüfung im ECC Exam
Center oder in einem VUE-Prüfungscenter absolvieren möchten.
Sie sollten insbesondere in folgenden Szenarien über eine CEH-Zertifizierung
nachdenken:
Sie möchten zukünftig als Penetrationstester
arbeiten und benötigen einen Nachweis Ihrer Qualifikation.
Ihre Tätigkeit liegt im IT-Security-Bereich und Sie möchten
Ihr Einsatzgebiet erweitern.
Sie arbeiten als Security Analyst und möchten Ihr Wissen
zertifizieren.
Wir halten die Zertifizierung für ein gutes Fundament für den
Einstieg in eine Karriere als Ethical Hacker und Penetrationstester.
Um aus diesem Buch das Maximum herauszuholen, ist jedoch die Prüfung
zum CEH keine Voraussetzung. Trotzdem werden wir immer wieder auf
die CEH-Prüfung zurückkommen und Tipps und Prüfungshinweise geben.
1.6 Die
Schutzziele: Was wird angegriffen?
Distanzieren wir uns für einen Moment von unserer Hacker-Rolle
und setzen die Brille derjenigen auf, die Computersysteme und deren
Daten schützen müssen. Denn Hacking und Penetration Testing dient
aus Sicht der Offensive Security zur Absicherung der Systeme. Betrachten
wir also den Blickwinkel des Security-Verantwortlichen einer Organisation.
Die IT-Sicherheit definiert drei grundlegende Schutzziele, die durch
Angriffe auf IT-Systeme bedroht werden. Sie werden mit C I A abgekürzt.
Dies steht in diesem Fall nicht für Central Intelligence Agency,
sondern ist eine Abkürzung für:
Manchmal wird ein viertes Schutzziel, die Authenticity (=
Authentizität) definiert. Diese dient auch der Non-Repudiation,
was etwas hölzern als Nicht-Abstreitbarkeit übersetzt wird.
Dieses Thema wird aber oft im Schutzziel Integrität enthalten
gesehen.
Unter dem Strich möchten die Sicherheitsverantwortlichen hauptsächlich
sicherstellen, dass die Daten und Systeme nicht kompromittiert werden.
Bei einem kompromittierten System kann der Eigentümer sich nicht
mehr sicher sein, dass die darauf enthaltenen Daten unverändert
bzw. nach wie vor vertraulich sind und die korrekte Funktion der
Dienste noch gegeben ist. Ein kompromittiertes System sollte meistens
von Grund auf neu aufgesetzt werden.
Umgekehrt ist es also das Ziel von Hackern, Computersysteme zu
kompromittieren und damit ganz oder teilweise unter ihre Kontrolle
zu bringen. Eine Ausnahme stellen die destruktiven Denial-of-Service-Angriffe dar,
bei denen es nur darum geht, dass das gesamte System oder Teile
des Systems nicht mehr funktionieren.
Kaum zu glauben, dass sich der Schutzbedarf von Computersystemen
auf die oben genannten drei bzw. vier Schutzziele herunterbrechen
lässt. Sehen wir uns daher die einzelnen Schutzziele aus Sicht der
IT-Sicherheit einmal im Detail an:
1.6.1 Vertraulichkeit
Es gibt Daten, bei denen ist es dem Eigentümer egal, ob sie öffentlich
zugänglich sind oder nicht. Oftmals ist es aus Sicht des Eigentümers
sogar wünschenswert, wenn diese Daten Beachtung finden. Hierzu zählen
zum Beispiel:
Unternehmensadresse(n): Zumindest
die meisten Unternehmen leben davon, gefunden zu werden.
Marketing-Materialien: Stellen Sie sich vor, ein Unternehmen
erstellt Werbespots, veröffentlicht diese aber nicht ... das ginge
dann ziemlich am Sinn vorbei.
Produkt-Beschreibungen: Soll das Produkt verkauft
werden, müssen potenzielle Käufer einen Einblick in die Eigenschaften
des Produkts erhalten können, z.B. in Form eines Downloads von PDF-Dateien
von der Website.
White-Paper: Diese Übersichtsdokumente enthalten Erläuterungen
zu Technologien, Fallstudien und Ansätze für Problemlösungen. Sie
dienen der Öffentlichkeitsarbeit.
Give-Aways: Kleine Geschenke erhalten die Freundschaft.
Kostenlose Downloads oder klassische Geschenke, wie Kugelschreiber
oder Tassen, erhöhen die Kundenbindung.
Die obige Aufzählung ist nur exemplarisch. Es gibt noch jede
Menge weiterer Informationen, die öffentlich zugänglich sind und
es aus der Sicht des Eigentümers auch sein sollen.
Andererseits sind die meisten Daten und Informationen von Personen,
Unternehmen und Organisationen schützenswert und sollten oder dürfen
der Öffentlichkeit nicht zugänglich gemacht werden. Eine Veröffentlichung
bedeutet im besten Falle Image-Schaden und im schlimmsten Fall den Untergang
des Unternehmens.
Stellen Sie sich vor, ein Unternehmen entwickelt ein neues, hoch-innovatives
Produkt, mit dem es eine Alleinstellung auf dem Markt anstrebt.
Alle finanziellen Ressourcen werden in diese Entwicklung gesteckt.
Leider gelingt es einem Hacker, die Pläne und alle Detailinformationen
des Produkts zu stehlen und einem anderen Unternehmen zukommen zu
lassen, das das Produkt schneller fertigstellt und auf den Markt
bringen kann. Da kann unser Unternehmen dann vermutlich dichtmachen.
Übrigens fällt dieser Vorfall unter die Rubrik Wirtschaftsspionage und
ist eine der am weitesten verbreiteten und lukrativsten Tätigkeiten
von Black Hats und staatlich unterstützten Hackern.
Die Vertraulichkeit von Daten kann auch aus Datenschutzgründen
notwendig sein. So müssen personenbezogene Daten von Kunden eines
Unternehmens unbedingt vor unbefugtem Zugriff geschützt werden.
Eine Veröffentlichung von Kundendaten geht in der Regel mit einem
enormen Image-Schaden einher und kann auch für jeden einzelnen Kunden
sehr teuer werden, wenn diese Daten dazu geeignet sind, der jeweiligen
Person oder Organisation zu schaden. Dies ist z.B. bei Kreditkartendaten
der Fall. (So geschehen 2011 bei Sonys Playstation Network.) Auch
die Veröffentlichung von Patientendaten ist hochkritisch.
Die Vertraulichkeit ist also für viele Daten essenziell. Da nicht
alle Daten den gleichen Schutzbedarf haben, werden oftmals Schutzklassen bzw. Sicherheitsstufen
(z.B. öffentlich, sensibel, geheim, Top Secret)
definiert, denen die jeweiligen Daten zugeordnet werden. In Deutschland
existiert hierzu mit DIN 66399 sogar eine Norm.
Je nach Schutzklasse und Sicherheitsstufe wird
in diesem Zusammenhang der jeweilige Sicherheitsbedarf festgelegt.
Je höher, desto mehr und umfangreichere Sicherheitsmechanismen werden zum
Schutz der Daten bereitgestellt und desto strenger sind die Kontrollen.
Dies erklärt andererseits auch, warum (bösartige) Hacker insbesondere
von den besonders geschützten Daten angezogen werden wie die Motten
vom Licht.
Auf der anderen Seite gibt es für alle relevanten Daten immer
auch Personen, die auf die jeweiligen Daten zugreifen müssen. Es
ist also zum einen notwendig, die autorisierten Zugriffe festzulegen, und
zum anderen, dafür zu sorgen, dass nicht-autorisierte Zugriffe unterbunden
werden. Dabei erhält ein Benutzer oder eine Benutzergruppe in der
Regel eine eindeutige Kennung (ID) und eine Möglichkeit, sich zu
authentisieren. Ist seine Authentizität festgestellt, erhält
er Zugriff auf diejenigen Daten, für die er autorisiert ist.
In Abschnitt 1.6.4 gehen wir
weiter in die Details der Authentisierung.
Schutzmaßnahmen
Die Maßnahmen zur Sicherstellung der Vertraulichkeit können ganz
unterschiedlich aussehen und auf unterschiedlichen Ebenen ansetzen.
Typische Sicherheitssysteme in Computernetzwerken sind:
Firewalls: Klassisches Instrument
zur Steuerung von Netzwerk-Traffic und Verhinderung von unerwünschter
Kommunikation.
Virenschutzsysteme: Auch Antivirus-Systeme (kurz:
AV) genannt. Dienen zum Verhindern von Malware (bösartiger
Software).
Intrusion-Detection/Prevention-Systeme: Kurz: IDS/IPS,
dienen der Erkennung von Angriffsmustern und – im Falle von IPS
– der automatischen Abwehr des Angriffs.
Application Gateways: Analysieren die Kommunikation
auf Protokollebene bis in die Details und können fehlerhafte und
unerwünschte Kommunikation erkennen und blockieren.
Zugangskontrollsysteme: Sowohl physische als auch
logische Systeme dienen dazu, den Zugriff auf zu schützende Daten
auf die autorisierten Personen zu beschränken.
Die wohl wichtigste Maßnahme zur Sicherstellung der Vertraulichkeit
im Rahmen der Netzwerk-Kommunikation ist die Verschlüsselung.
Sie stellt sicher, dass ein Angreifer den Inhalt einer Kommunikation
nicht erkennen kann.
Bei einem Man-in-the-Middle-Angriff positioniert sich
der Angreifer zwischen den Kommunikationspartnern und übernimmt
unbemerkt jeweils stellvertretend für den anderen die Kommunikation.
Beide Kommunikationspartner glauben, dass sie mit dem jeweils anderen
kommunizieren, während der Angreifer jedes Datenpaket abfangen,
analysieren, ggfs. verändern und dann an den echten Empfänger weiterleiten
kann. Die Verschlüsselung verhindert, dass der Angreifer die Daten
entziffern kann, jedoch nicht, dass sie verändert weitergeleitet
werden.
Um sicherzustellen, dass die gesendeten Daten unverändert beim
Empfänger ankommen oder auf einem Datenträger abgelegte Daten zwischenzeitlich
nicht verändert wurden, müssen wir die Integrität der Daten
wahren.
1.6.2 Integrität
Es war einmal ein Mitarbeiter, dem von seinem Unternehmen gekündigt
wurde. Dieser war ob der Kündigung erzürnt und wollte sich an seinem
Unternehmen rächen. Zu diesem Zwecke erlernte er das Hacking und
führte eine Man-in-the-Middle-Attacke aus, indem er ausgehende
Angebotsmails des Unternehmens abfing und verändert an den Adressaten
weiterleitete. Immer, wenn das Unternehmen ein Dienstleistungsangebot
mit einem guten Preis an einen Interessenten aussendete, veränderte
er den Preis derart, dass die Dienstleistung viel zu teuer wäre
– statt 1500 Euro las der Interessent nun 15.000 Euro als Gesamtpreis,
lachte kurz und wandte sich von diesem Unternehmen ab, um die Dienstleistung
bei einem anderen Unternehmen einzukaufen ...
Dem Unternehmen ging viel Geld dadurch verloren und der ehemalige
Mitarbeiter erhielt seine Rache. Ende der Geschichte.
Tatsächlich ist die Frage, ob gesendete Daten beim Empfänger
unverändert ankommen, oftmals essenziell – dabei geht es nicht immer
um Geld. Es gibt populäre Fälle, in denen eine renommierte Software
auf dem Server so manipuliert wurde, dass sie auf dem Opfer-System
eine sogenannte »Backdoor« installierte, um Angreifern einen unbemerkten
Remote-Zugang zum System zu ermöglichen.
Angriffe der oben beschriebenen Art können verhindert werden,
wenn es gelingt, die Integrität der Daten sicherzustellen. Wir betrachten
also die »Echtheit« der Daten. Das Ziel ist es, Daten vor Manipulationen
zu schützen.
Wie bereits dargelegt, können das Dateien sein, die auf einem
Server liegen und unbemerkt gegen eine manipulierte Version ausgetauscht,
oder Informationen, die bei der Übermittlung manipuliert werden,
wie in unserem Eingangsbeispiel.
Es muss sichergestellt werden, dass die Daten, die den Sender
verlassen, auch genauso beim Empfänger ankommen und unterwegs nicht
verändert oder ausgetauscht werden. Neben veränderten Inhalten kann
aber auch der Absender eines Datenpakets manipuliert werden. Hierbei
geht es dann um Authentizität, die ebenfalls mit Mitteln der Integrität
sichergestellt werden kann.
Schutzmaßnahmen
Um die Integrität von Daten zu gewährleisten, kommt oft ein sogenannter Hashwert zum Einsatz. Das
ist eine mathematische Funktion, die auf eine Nachricht oder eine
Datei angewendet werden kann. Dabei wird die Original-Nachricht
als Eingangswert von der Hash-Funktion verarbeitet. Daraus entsteht
eine immer gleich lange Kombination aus Zeichen, das ist der Hashwert.
Von diesem lässt sich nicht auf den Inhalt der Nachricht zurückschließen,
aber er identifiziert diese ganz genau.
Wie der Fingerabdruck eines Menschen eine Person identifiziert,
aber keinerlei Informationen zu Größe, Gewicht oder Haarfarbe preisgibt,
so verschickt der Sender seine Nachricht inklusive Hashwert an den
Empfänger. Dabei muss er den Hashwert so schützen, dass der Angreifer
diesen nicht unerkannt ändern kann. Dies geschieht z.B. mittels
digitaler Signatur.
Der Empfänger wendet dieselbe Hash-Funktion auf die Nachricht
an und vergleicht den ermittelten Hashwert mit dem des Senders.
Wurde an der Nachricht nur ein einziges Zeichen verändert, stimmt
der Hashwert nicht überein. Damit kann der Empfänger die Echtheit
der empfangenen Daten überprüfen.
»Moment mal!«, werden Sie vielleicht sagen: »Mit der Integritätsprüfung
will ich doch die Echtheit der Daten sicherstellen?« Jupp! Das können
Sie auch – was Sie aber nicht können, ist, zu verhindern,
dass die Daten manipuliert werden. Sie können es lediglich erkennen
und entsprechend reagieren. Mehr kann die Integritätsprüfung nicht
leisten. Ein kleiner, aber feiner und wichtiger Unterschied.
Was also tun, wenn wir bemerken, dass die Integrität von Daten
nicht gewahrt werden konnte? In diesem Fall muss die Nachricht oder
Datei verworfen werden, sie ist nicht mehr vertrauenswürdig. Im
Fall einer Netzwerk-Kommunikation muss der Absender seine Informationen
erneut senden. Dumm nur, wenn die dazu notwendigen Systeme aufgrund
eines Angriffs den Dienst versagen. Dieser Punkt betrifft das dritte
Sicherheitsziel, die Verfügbarkeit von Daten in der gewünschten
Art und zum gewünschten Zeitpunkt.
Auf das Thema Kryptografie gehen wir aufgrund seiner Bedeutung
noch einmal gesondert ein. In Kapitel 5 erfahren Sie viele Details über
Verschlüsselungsvarianten, -algorithmen und -verfahren.
1.6.3 Verfügbarkeit
Vielleicht erinnern Sie sich noch an Weihnachten 2014, als die
Netzwerke der Spielekonsolen von Sony und Microsoft lahmgelegt wurden?
Die neuen Spiele, die zum Fest verschenkt wurden, konnten erst einmal
nur begrenzt zum Einsatz kommen, was den Herstellern viel Ärger
einbrachte.
Ursache dafür war ein sogenannter DoS-Angriff (Denial-of-Service).
Dabei versuchen Angreifer, ein System in die Knie zu zwingen, bis
es seinen Dienst quittiert. Dies geschieht zum Beispiel durch eine
Flut von Anfragen an das Zielsystem oder durch Ausnutzen einer bekannten
Schwachstelle, die das System zum Absturz bringt. In diesem Fall
reicht manchmal schon ein einziges, entsprechend manipuliertes Datenpaket.
Angreifer versuchen mittels der oben beschriebenen Denial-of-Service-Angriffe
(DoS), die Verfügbarkeit von Systemen im Netzwerk und im Internet
zu untergraben. Oftmals geschieht dies mit der Brechstange, indem
die Opfer-Systeme mit so vielen Anfragen überhäuft werden, dass
sie diese nicht mehr verarbeiten können.
Um die Wirksamkeit dieser Angriffe zu erhöhen, werden Distributed-Denial-of-Service-Angriffe (DDoS, sprich:
Di-Dos) gefahren, bei denen der Angriff von Hunderten oder Tausenden
Systemen aus dem Internet stattfindet. Hierzu dienen sogenannte
»Botnetze«, bei denen eigentlich harmlose Computer zu einem früheren
Zeitpunkt mit einer Software infiziert wurden, die ferngesteuert
einen Angriff zu einem gewünschten Zeitpunkt initiiert.
Schutzmaßnahmen
Sich gegen einen DoS- oder DDoS-Angriff zu schützen, ist eine
der schwierigsten Angelegenheiten der IT-Sicherheit. Im März 2013
fand aus Rache am Blacklist-Anbieter Spamhaus ein DDoS-Angriff statt,
der eine Woche dauerte. Initiiert wurde er vom niederländischen
Provider Cyberbunker, der sich dagegen wehren wollte, dass Spamhaus
diverse seiner Kunden auf die schwarze Liste (Blacklist) gesetzt
hatte, weil diese Spam und anderen unerwünschten Traffic erzeugt
hatten. Der DDoS-Angriff war derart heftig, dass ein nicht unerheblicher
Teil des Internets davon betroffen war und es auch andernorts zu
Leistungseinbußen kam.
Für viele Unternehmen und Organisationen ist die Verfügbarkeit
des Computernetzwerks und seiner Systeme essenziell. Daher werden
diverse Maßnahmen ergriffen, um dies sicherzustellen. Hierbei können
verschiedene Technologien zum Einsatz kommen, zum Beispiel:
High Availability (HA): Auch
hierbei werden redundante Systeme bereitgestellt, die entweder parallel
aktiv oder im Aktiv/Passiv-Modus arbeiten, also die Funktion sofort
übernehmen können, wenn das Hauptsystem ausfällt. Bei HA ist es
nicht unbedingt erforderlich, dass die Systeme als Cluster arbeiten.
Clustering: Dabei
werden mehrere gleichartige Systeme zu einem Verbund zusammengeschlossen.
Fällt eines oder sogar mehrere dieser Verbundsysteme aus, können
die anderen die Funktion trotzdem aufrechterhalten. Clustering unterscheidet
sich von High Availability insofern, als es die Bereitstellung eines
gemeinsamen Speichers erfordert, Quorum genannt.
Loadbalancing: Dahinter
versteckt sich das Konzept, die Anfragen von Client-Systemen automatisch
nach bestimmten Kriterien auf verschiedene, gleichartige Systeme
zu verteilen, um die Last aufzuteilen.
Es existieren diverse weitere Technologien speziell zur Vermeidung
von DDoS-Angriffen, wie z.B. Scrubbing-Center und Content-Delivery-Netzwerke.
Im Internet existieren Dienstanbieter, die sich auf die Erhaltung
der Verfügbarkeit der Systeme spezialisiert haben. Wir kommen in Kapitel 22 DoS- und DDoS-Angriffe darauf
zurück.
1.6.4 Authentizität
und Nicht-Abstreitbarkeit
Was passiert hinter den Kulissen, wenn Sie sich an einem Computer
anmelden? Sie geben Ihren Benutzernamen an, tippen Ihr Kennwort
ein und bestätigen diese Eingabe. Im Hintergrund prüft der Computer
nun, ob er Sie kennt. Das ermittelt er anhand der Benutzer-ID, in
diesem Fall Ihrem Benutzernamen. Dazu existiert in Windows-Systemen
ein sogenanntes Benutzerkonto. Anschließend vergleicht er das für
Ihr Benutzerkonto hinterlegte Passwort mit dem eingegebenen (in
der Regel vergleicht er die Hashwerte, da das Passwort aus Sicherheitsgründen
nicht direkt hinterlegt ist).
Passt alles zusammen, sind Sie authentifiziert. Das bedeutet
nichts anderes, als dass der Computer Ihnen Ihre Identität glaubt
und Sie für diejenige Person hält, für die Sie sich ausgeben. An
dieser Stelle kommt immer auch die Autorisierung ins Spiel:
Durch die Vergabe von Zugriffs- und Systemrechten erhalten Sie nun
die Möglichkeit, in einer festgelegten Art auf bestimmte Daten zuzugreifen, z.B.
nur lesend (read-only) oder lesend oder schreibend. Auch
die Verwendung von Programmen und der Zugriff auf die Systemkonfiguration
sind von Ihren Rechten abhängig. Ein Administrator darf hier deutlich
mehr (im Zweifel alles) als ein nicht-privilegierter Benutzer.
Neben der Autorisierung dient die Authentizität bzw. Authentisierung
in bestimmten Situationen auch der Nicht-Abstreitbarkeit (engl. Non-Repudiation).
Geben Sie z.B. über das Internet eine Bestellung auf und behaupten
später, dass Sie das gar nicht getan hätten, so streiten Sie die
Bestellung ab und der Auftragnehmer hat das Beweisproblem. Gerade
bei Geschäftsbeziehungen, die über das Internet laufen, spielt dies
eine große Rolle.
Ziel der Nicht-Abstreitbarkeit ist der Nachweis, dass eine Nachricht
mit einem bestimmten Inhalt tatsächlich von der Person gekommen
ist, die als Absender angegeben ist. Dies wird durch ähnliche Methoden
erreicht, wie sie bei der Sicherstellung der Integrität eingesetzt
werden.
Schutzmaßnahmen
Eine große Rolle spielen hier Hashwerte als Prüfsummen und ein
Konzept namens digitale Signatur oder elektronische Unterschrift.
Durch die digitale Signatur kann eindeutig nachgewiesen werden, dass
eine Nachricht von einem bestimmten Absender stammt. Im Zusammenspiel
mit der Integritätsprüfung kann auch der Inhalt verifiziert werden,
sodass eine Nicht-Abstreitbarkeit erreicht wird. Dadurch werden
Geschäftsbeziehungen im Internet glaubwürdig. Gelingt es einem Angreifer,
diese digitale Signatur oder die Hashwerte zur Integritätsprüfung
zu fälschen, wiegt sich der Empfänger einer Nachricht in falscher
Sicherheit. Im Rahmen von Kapitel 5 Kryptografie und ihre Schwachstellen nennen wir Ihnen effektive
Methoden, Ihre Integrität und Authentizität zu schützen.
1.6.5 Die
Quadratur des Kreises
Sind Sie verantwortlich für die IT-Sicherheit, sollten Sie immer
die oben genannten Schutzziele im Auge behalten und sich entsprechend
schützen.
Bei allem Sicherheitsbewusstsein, das wir bei Ihnen im Laufe
dieses Buches verstärken möchten, dürfen Sie allerdings nie das
Verhältnis zwischen Sicherheit, Funktionalität und Bedienbarkeit außer
Acht lassen.
Je nachdem, wo Sie Schwerpunkte setzen, verlagert sich die Balance
Ihrer Computersysteme. Natürlich können Sie die Sicherheit zu 100
% sicherstellen – indem Sie die Systeme abschalten und niemandem
zugänglich machen. In diesem Fall würden Funktionalität und Benutzbarkeit
auf 0 % reduziert. Und dies ist sicherlich nicht zielführend.
Die anderen Extreme bringen jedoch auch Probleme mit sich: Die
Benutzbarkeit zu maximieren, führt in jedem Fall zu vermehrten Sicherheitslücken.
So könnten Sie z.B. auf Zugangskontrolle verzichten und jedem Vollzugriff
auf alle Systeme und Daten geben. Dass das ebenfalls nicht zum gewünschten
Gesamtergebnis führt, müssen wir nicht weiter ausführen.
Das bedeutet letztlich, dass Sie als Sicherheitsbeauftragte(r)
manchmal Kompromisse eingehen müssen, die gegen das Sicherheitsziel
sprechen. Wenn die Funktionen zu sehr eingeschränkt sind oder sich
Ihr System nicht mehr effizient bedienen lässt, haben Sie auch nichts
gewonnen. Versuchen Sie, einen gesunden Mittelpunkt im Inneren des
Dreiecks zu finden.
Welche Balance das Optimum in der jeweiligen Umgebung darstellt,
lässt sich pauschal nicht beantworten. So wird eine Bank z.B. naturgemäß
sehr viel mehr Wert auf Sicherheit legen – zur Not eben auch auf
Kosten der Benutzbarkeit (Usability) und Funktionalität. Mittlerweile
ist ja das Einloggen in den Online-Bankaccount oft schon ein dreistufiger
Authentifizierungsprozess und teilweise recht nervig für den Kunden.
Auf der anderen Seite gibt es Unternehmen, die von der Kreativität
und Individualität ihrer Mitarbeiter leben. Hier könnte es notwendig
sein, vielen Mitarbeitern weitgehende Rechte bis hin zu Administratorprivilegien
einzuräumen, damit diese ihre Jobs optimal ausfüllen können. Dies
ist zwar ein Horrorszenario für jeden Security-Beauftragen, aber
wenn die Alternative lautet, dass das Unternehmen pleitegeht, weil
die Mitarbeiter nicht vernünftig arbeiten können, müssen entsprechende,
aus Security-Sicht manchmal schmerzhafte, Kompromisse gefunden werden.
Grundsätzlich gilt: Jeder Benutzer erhält so viel Rechte wie
nötig und so wenig wie möglich, um seine Tätigkeit ausüben zu können!
Führt ein Recht zu einem Sicherheitsproblem, suchen Sie nach Alternativen:
Ist es z.B. möglich, bestimmte, sicherheitskritische Prozesse durch
nur einen oder wenige Mitarbeiter ausführen zu lassen, anstatt durch
jeden einzelnen Benutzer? Sorgen Sie im Zweifel auch immer für ein
Vier-Augen-Prinzip: Ein Mitarbeiter beantragt einen Prozess, ein zweiter
genehmigt diesen und der dritte führt ihn schließlich aus. Das reduziert
den Missbrauch von privilegierten Funktionen, wie z.B. das Ändern
von Firewall-Regeln.
1.7 Systematischer
Ablauf eines Hacking-Angriffs
Einer der Haupt-Unterschiede zwischen Scriptkiddies und echten
Hackern oder auch Pentestern ist das systematische Vorgehen, das
bei den Scriptkiddies fehlt. Ein professioneller Hacking-Angriff umfasst
eine Reihe von Phasen, die aufeinander aufbauen. Es gibt verschiedene
Ansätze, die leicht voneinander abweichen, aber inhaltlich weitgehend
denselben Weg verfolgen. Abbildung 1.3 zeigt eine
Übersicht über die einzelnen Etappen, wie sie vom CEH-Curriculum
unterschieden werden.
Hierbei ergibt sich jedoch eine Begriffsüberschneidung, da die
zweite Phase, das Scanning, in den meisten Quellen zur aktiven Reconnaissance-Phase hinzugerechnet
wird. An dieser Stelle gibt es diverse Begrifflichkeiten zu unterscheiden.
Wir werden das gleich noch etwas genauer erläutern.
Auch wenn die Vorgehensweise von Black Hat Hackern und White
Hat Hackern grundsätzlich gleich ist, so sind die Phasen bei einem
realen Angriff noch etwas umfangreicher und aggressiver. Schauen
wir uns das einmal an.
1.7.1 Phasen
eines echten Angriffs
Im
Rahmen eines professionellen Hacking-Angriffs versucht der Angreifer,
sein Ziel systematisch und nachhaltig zu erreichen. So hat er z.B.
nichts gewonnen, wenn er zwar die gesuchten Daten findet und stehlen
kann, dabei aber erwischt wird. Daher ist es notwendig, mit Bedacht
vorzugehen und möglichst wenig Spuren zu hinterlassen. Zudem kann
der Angreifer die Chance nutzen, im Rahmen eines erfolgreichen Angriffs
eine Hintertür einzubauen, die ihm auch zukünftig Zugang zu dem
betreffenden System sichert.
Für einen erfolgreichen Angriff wird der Hacker in der Regel
eine bestimmte Reihenfolge seiner Handlungen verfolgen, um sich
seinem Ziel schrittweise zu nähern und nach erfolgreichem Angriff auch
wieder unbemerkt abtauchen zu können. Betrachten wir die einzelnen
Schritte einmal genauer:
Informationsbeschaffung
(Reconnaissance)
Dies ist
der erste Schritt für die Vorbereitung auf einen Angriff. Sammeln
Sie möglichst viele Informationen über Ihr Ziel. Je mehr Informationen
Sie haben, umso gezielter können die nächsten Schritte gewählt werden.
Das spart nicht nur Zeit, sondern erhöht auch die Chance, Schwachstellen zu
finden. Wir unterscheiden zwischen zwei Phasen:
Passive Discovery: In dieser Phase
versuchen Sie, Informationen über Ihr Ziel (also die Person oder
das Unternehmen) zu erlangen, ohne direkt mit ihm in Kontakt zu
treten. Dies umfasst z.B. Google-Suchen, Social-Media-Analysen und
andere Recherchen über das Ziel, kann aber auch bedeuten, dass Sie
das Gebäude des betreffenden Unternehmens beobachten, um die Verhaltensweisen
und Gewohnheiten der Mitarbeiter und des Wachpersonals zu erkunden.
Passive Discovery umfasst damit auch einen Teil des Social Engineerings (grob
ausgedrückt ist das alles, was primär mit Menschen statt Computern
zu tun hat, genauer wird dieses Thema in Kapitel 20 Social Engineering behandelt) sowie das sogenannte Dumpster
Diving, bei dem der Angreifer versucht, aus dem Müll des Opfers
relevante Informationen zu erlangen. Dies kann z.B. erfolgreich sein,
wenn wichtige Dokumente nicht sachgerecht entsorgt werden.
Active Discovery: Jetzt werden Sie als Angreifer konkreter
und prüfen die Systeme durch aktives »Anklopfen«. Das heißt, Sie
treten bereits mit den Systemen des Opfers in Kontakt. In dieser Phase
setzen Sie sich erstmalig der Gefahr aus, entdeckt zu werden. Andererseits
können Sie aber auch wichtige Informationen zu den Zielsystemen
erlangen, die weitere Angriffsvorbereitungen ermöglichen.
Der CEH sieht in der Active-Discovery-Phase noch keine Scanning-Aktivitäten,
sondern die Verbindungsaufnahme mit dem Ziel auf anderen Ebenen,
z.B. einem Telefonanruf beim Help Desk oder in der IT-Abteilung.
Wir betrachten daher die Scanning-Phase formal auch von der Reconnaissance-Phase
getrennt, sehen aber inhaltlich das Scanning als Bestandteil der
Active-Discovery-Phase.
Schwachstellen finden
(Scanning)
Somit geht die Active-Discovery-Phase sozusagen fließend in die
Scanning-Phase über. In dieser Phase werden die Zielsysteme genau
unter die Lupe genommen. Dabei nutzen Sie als Angreifer die Informationen,
die Sie im Rahmen des ersten Schrittes der (passiven) Informationsbeschaffung (Reconnaissance)
erlangt haben. Hier kommen Netzwerk-Scanner und -Mapper sowie Vulnerability-Scanner
zum Einsatz. Tatsächlich erhöht sich der Grad der Aggressivität
des Scans gegenüber dem Active Discovery.
In dieser Phase ermittelt der Angreifer die Architektur des Netzwerks,
offene Ports und Dienste, die Art der Dienste, Betriebssysteme,
Patchstände, scannt auf bekannte Schwachstellen und Sicherheitslücken
etc. In dieser Phase steigt die Entdeckungsgefahr weiter, da der
Angreifer sehr aktiv und teilweise aggressiv mit den Zielsystemen
kommuniziert.
Aktives Eindringen (Gaining
Access)
Hier geht es richtig los, denn jetzt versuchen Sie, die gefundenen
Lücken auszunutzen und sich mittels entsprechender Exploits unerlaubten
Zugriff zu verschaffen. Angriffe gibt es in allen möglichen Varianten,
wie Webserver-Attacken, SQL-Injection, Session Hijacking, Buffer
Overflow etc. Diese werden wir ausführlich vorstellen und natürlich
auch praktisch demonstrieren.
Sich im System festsetzen
(Maintaining Access)
Hat der Angreifer sich erst einmal Zugang verschafft, versucht
er, den Zugriff auszubauen. Er bemüht sich mittels Privilege
Escalation um noch mehr Rechte und versucht, das System weitestgehend
einzunehmen. Mittlerweile hat er nicht nur Zugang zum System, sondern
bestenfalls sogar Administrator-Privilegien. Damit gibt sich ein
professioneller Angreifer jedoch nicht zufrieden. Denn an dieser
Stelle nutzen Black Hats die Gunst der Stunde, weitere Sicherheitslücken
zu schaffen und über entsprechende »Backdoors« dafür zu sorgen,
dass sie das Opfer-System jederzeit wieder »besuchen« können.
Das kann auch hilfreich sein, sollte die Lücke, durch die der
Angreifer hineingekommen ist, geschlossen werden. Jetzt wird Ihnen
vermutlich auch klar, warum Sie einem einmal kompromittierten System
nicht mehr trauen können: Als Administrator eines einmal kompromittierten
Systems werden Sie keine ruhige Nacht mehr haben, mit dem Hintergedanken,
dass der Angreifer evtl. weitere Einfallstore und Zugänge installiert
hat.
Spuren verwischen (Clearing
Tracks)
In den meisten Fällen entstehen bei einem Hacking-Angriff Spuren,
die durch Methoden der Computer-Forensik ausgewertet werden können.
Ist der Angriff auf den Hacker zurückzuführen, so ist dessen Karriere
schnell vorbei.
In dieser Phase geht es also darum, die Spuren seines (unerlaubten)
Tuns möglichst nachhaltig und umfangreich zu verwischen. Hierzu
werden Logging-Einträge manipuliert oder gelöscht, Rootkits installiert,
die sehr tief im Kernel operieren und das System und dessen Wahrnehmung
der Ereignisse manipulieren können, sowie Kommunikationsprotokolle
und -wege eingesetzt, die eine Nachverfolgung erschweren.
Nicht immer müssen die Angriffe strikt in dieser Reihenfolge
ablaufen. So kann es durchaus sein, dass Sie einen Scan auf ein
System laufen lassen, während Sie in der Zwischenzeit in ein anderes einbrechen.
Auch macht es Sinn, zwischen den einzelnen Schritten seine Spuren
immer wieder zu verwischen, obwohl diese Phase generell erst am
Ende der Kette steht. Um allerdings den grundlegenden Ablauf zu
verstehen und zu verinnerlichen, ist es wichtig, die Phasen und
ihre Reihenfolge zu kennen und ständig im Blick zu haben.
1.7.2 Unterschied
zum Penetration Testing
Sie haben vielleicht bemerkt, dass die im vorigen Abschnitt vorgestellten
Phasen – gerade die letzten beiden – doch recht »dunkel« anmuten.
Und auch wenn das beschriebene Vorgehen weitgehend sowohl für White
Hats als auch für Black Hats gilt, so ist der Vorgang beim Penetration
Testing im Allgemeinen doch noch ein wenig modifiziert. Dies betrifft
insbesondere folgende Punkte:
Vorbereitung
Vor einem Penetrationstest wird sehr genau festgelegt, was die
Ziele des Audits sind und in welchem Rahmen der Pentester sich bewegt.
Es wird die Aggressivität des Tests festgelegt und die Kommunikation
zwischen dem Pentester und dem Auftraggeber geklärt.
Der Auftraggeber wird während des Tests in der Regel in Intervallen
über den aktuellen Stand aufgeklärt und über einzelne, geplante
Schritte hinsichtlich Zeitraum und Umfang informiert. Dies wird
ebenfalls in der Vorbereitungsphase geklärt. Das umfasst auch ggf.
gesetzliche Regelungen. Wird das Audit im Rahmen einer Compliance-Prüfung durchgeführt,
so müssen weitere Rahmenbedingungen und formale Anforderungen erfüllt
werden, die vorab zu klären sind. »Compliance« bedeutet Regelkonformität
und umfasst die Einhaltung von Gesetzen und Richtlinien. Diverse Unternehmen
und Organisationen sind bestimmten Gesetzen unterworfen, die eine
entsprechende regelmäßige Prüfung erfordern.
Abschluss und Dokumentation
Während ein echter Angreifer zufrieden ist, wenn er das System
kompromittiert und seine Ziele (Datendiebstahl, Sabotage etc.) erreicht
hat, muss der Pentester den Auftraggeber bestmöglich unterstützen,
um die gefundenen Schwachstellen zu erkennen und zu beseitigen.
Daher wird ein umfangreicher Bericht über die Sicherheitslücken,
Gefährdungen und Risiken erstellt und ein Maßnahmen-Katalog erarbeitet,
der dem Auftraggeber die mögliche Beseitigung der Schwachstellen
aufzeigt.
Dabei wird auch die Vorgehensweise des Pentesters detailliert
beschrieben, um dem Auftraggeber darzulegen, wie die Informationsbeschaffung
und Ausnutzung der Sicherheitslücken erfolgt ist. Zur Dokumentation
eines Penetrationstests existieren diverse Tools und Hilfsmittel,
die eine Datenbank-gestützte Auswertung ermöglichen. Auf die Details
hierzu gehen wir in Kapitel 32 Durchführen von Penetrationstests am Ende des Buches ein.
Was ein Pentester nicht
macht
Im Rahmen eines Audits wird ein Pentester in der Regel nicht
versuchen, sich im System festzusetzen, um zu einem späteren Zeitpunkt
erneut in das System einzubrechen. Andererseits ist es natürlich
durchaus sinnvoll, zu testen, wie weit der Angreifer kommen würde,
um Backdoors und andere Schwachstellen zu platzieren. Diese
werden jedoch im Rahmen eines Audits in der Regel nicht installiert,
um sie später tatsächlich zu nutzen – es bleibt meistens beim »Proof-of-Concept«,
also beim Ausloten der Möglichkeiten.
Darüber hinaus wird ein Pentester in der Regel auch keine aggressiven
Techniken einsetzen, um seine Spuren zu verwischen. Dies erfordert
eine Manipulation diverser wichtiger Subsysteme von Produktivsystemen,
einschließlich des Einsatzes von Rootkits, die es ermöglichen, auf
Kernel-Ebene elementare Prozesse und Dateien zu manipulieren und
zu verstecken.
Dahinter steckt nicht zuletzt die Philosophie, dass die Systeme
des Auftraggebers getestet und anschließend gehärtet (also
sicherer gemacht) werden sollen, nicht jedoch als Spielwiese eines
Hackers dienen sollen, um zu schauen, was alles geht. Das gezielte
Schwächen eines Produktiv-Systems führt unter Umständen zur Notwendigkeit
einer Neuinstallation und ist ein »No-Go« für einen Pentester.
Damit wir uns nicht falsch verstehen: Wir fordern Sie geradezu
auf, an die Grenze Ihrer Fähigkeiten zu gehen! Innerhalb Ihres Labornetzes
sollten Sie alles, was irgendwie möglich erscheint, umsetzen und
ausprobieren – hier sind Ihnen keine Grenzen gesetzt – virtuelle
Maschinen und Snapshots machen es möglich.
Stellen Sie jedoch sicher, dass die von Ihnen angegriffenen Systeme
vollständig unter Ihrer eigenen Kontrolle sind und keinerlei Produktivzwecken
dienen! In Ihrem abgeschotteten Labor können Sie so viel herumexperimentieren,
wie Sie wollen. Aber halten Sie strikt die Regeln ein, wenn Sie
ein anderes Netzwerk oder Computersystem im Rahmen eines beauftragten
Penetrationstests hacken.
Grundsätzlich gibt es auch spezielle Szenarien, in denen ein
Pentester aggressiver vorgeht und bestimmte Black-Hat-Methoden anwendet,
wie beispielsweise die Installation einer Backdoor. Dies hängt immer
von der Zielstellung bzw. Auftragsformulierung ab. Unter dem Strich
muss dies jedoch abgesprochen sein und dem Gesamtziel der Verbesserung
der IT-Sicherheit dienen.
1.8 Praktische
Hacking-Beispiele
In diesem letzten Abschnitt des Kapitels möchten wir Ihnen noch
drei erfolgreiche Hacking-Angriffe vorstellen, um gleich einmal
etwas »Praxis« einzubringen und Ihnen eine Vorstellung von »Real-World-Hacks«
zu geben.
1.8.1 Angriff
auf den Deutschen Bundestag
Am 13. April 2015 wurde ein Angriff auf das Netzwerk des Bundestages
bekannt, bei dem diverse, teilweise als Top Secret eingestufte,
Dokumente gestohlen wurden. Offensichtlich haben sich die Hacker
Zugang zu einem Großteil der Systeme des Bundestages verschaffen
können, sodass zum einen nicht im Detail nachvollziehbar ist, welche
Informationen entwendet und welche Systeme kompromittiert wurden.
Zum anderen wurde es dadurch notwendig, einen erheblichen Teil der
IT-Infrastruktur neu aufzusetzen, um wieder Vertrauen in die Systeme
haben zu können.
Nach den Analysen ist zunächst ein einzelner Computer eines Abgeordneten
durch eine E-Mail mit entsprechendem Malware-Anhang oder einem Drive-by-Download (ein
Schadcode wird automatisch beim Besuchen einer bestimmten Website
unbemerkt im Hintergrund heruntergeladen) infiziert worden. So hatten
die Angreifer vermutlich eine Backdoor (also eine Hintertür
im System) installiert, über die sie Zugang zum Opfer-System erlangten.
Von dort aus gelang es den Angreifern mittels gängiger Open-Source-Software
(namentlich mimikatz, siehe Kapitel 10 Password Hacking), Zugriff auf Administrator-Accounts
zu erlangen, die ihnen wiederum Zugang zu diversen Systemen des
Netzwerks ermöglichten und dazu führten, dass sich die Angreifer
frei im Netzwerk des Bundestages bewegen konnten.
Interessant hierbei ist, dass bis zu diesem Zeitpunkt niemand
wirklich reagierte: Obwohl sich einige Systeme merkwürdig verhielten,
nahm man die Situation noch nicht so richtig ernst. Erst als ausländische
Geheimdienste mitteilten, dass ein derartiger Angriffsplan entdeckt
wurde, sind die entsprechenden Stellen, unter anderem das Bundesamt
für Sicherheit in der Informationstechnik (BSI) involviert worden,
um die Sachverhalte aufzuklären.
Das Verblüffende hierbei ist, dass die Angreifer bereits bekannte
Schwachstellen und Hacking-Tools eingesetzt haben. Es muss sich
also keineswegs um versierte Hacker gehandelt haben – stattdessen wäre
es erschreckenderweise auch denkbar, dass hier Scriptkiddies (zugegebenermaßen
mit deutlich erweiterten Kenntnissen) am Werk waren!
Unter dem Strich bleibt die Erkenntnis, dass das Netzwerk des
Bundestages zum einen unzureichend geschützt war und zum anderen
das Sicherheitsbewusstsein der Administratoren ganz offensichtlich
nicht ausreichte, um die (durchaus vorhandenen) Symptome des Angriffs
rechtzeitig zu erkennen und entsprechend zu handeln. Aufgrund dieser
Umstände war es sogar mit relativ einfachen Mitteln und Open-Source-Standard-Tools
möglich, derart tief in das Netzwerk des Bundestages einzudringen
und sich dort festzusetzen.
1.8.2 Stuxnet
– der genialste Wurm aller Zeiten
Im krassen Gegensatz zum Angriff auf den Bundestag wurde 2010
ein Computerwurm entdeckt, der als Stuxnet bekannt wurde.
Es handelt sich um den höchstentwickelten Wurm, der jemals gefunden
wurde. Er nutzt eine Vielzahl von Schwachstellen und kann sogar,
wie ein normales Programm, automatisch über das Internet aktualisiert
werden.
Stuxnet wurde speziell für den Angriff auf Simatic S7 entwickelt.
Dabei handelt es sich um ein Steuerungssystem der Firma Siemens,
das vielfach in verschiedenen Industrieanlagen, wie z.B. Wasserwerken,
Pipelines oder aber auch Urananreicherungsanlagen eingesetzt wird.
Letztere schienen auch das Ziel von Stuxnet zu sein, da zunächst
der Iran den größten Anteil an infizierten Computern besaß und die
Anlagen des iranischen Atomprogramms von Störungen betroffen waren.
Durch die Störung der Leittechnik dieser Anlagen sollte wohl die
Entwicklung des Atomprogramms gestört und verzögert werden.
Die Entwickler und Auftraggeber von Stuxnet sind bis heute nicht
bekannt – selbstverständlich gibt es diverse Gerüchte und Indizien,
die an dieser Stelle aber nicht von Belang sind. Entscheidend ist, dass
hier kein einzelner Hobbyprogrammierer oder Scriptkiddie am Werk
war, sondern eine hochversierte Gruppe professioneller Entwickler.
Die Komplexität von Stuxnet legt die Vermutung nahe, dass hier hochspezialisierte
Experten an der Arbeit waren und die Entwicklung des Wurms mehrere Monate
professioneller Projektarbeit erforderte.
Mehr Informationen über Stuxnet haben wir in einem Dokument zusammengefasst
und zum Download unter www.hacking-akademie.de/buch/member bereitgestellt.
Bitte nutzen Sie das Passwort h4ckm3mber für den exklusiven
Zugang zum Mitglieder-Bereich unserer Leser.
1.8.3 Angriff
auf heise.de mittels Emotet
Auch Malware entwickelt sich weiter und ein neuer Meilenstein
in der Evolution war Emotet. Dabei handelt es sich um einen
sogenannten Banking-Trojaner. Derartige Schadsoftware ist darauf
spezialisiert, Zugangsdaten von Online-Banking-Diensten auszuspähen.
Emotet ist jedoch erheblich vielseitiger und leistungsfähiger als
die meisten derartigen Schadprogramme und wird zudem aktiv weiterentwickelt.
Seit 2018 ist Emotet in der Lage, auch lokale E-Mails auszulesen
und somit selbst Mails zu generieren, die scheinbar von bekannten
Absendern kommen, mit denen das Opfer kürzlich bereits in Kontakt
stand. Durch glaubwürdige Inhalte wird der Benutzer dazu verführt,
schädliche Dateianhänge zu öffnen oder auf Links zu klicken, die
zu infizierten Servern führen, wodurch sogenannte Drive-by-Downloads initiiert
werden. Diese automatischen Downloads nutzen Browserlücken aus und
platzieren Schadcode auf dem Computer des Opfers.
Im Mai 2019 wurde das bekannte Online-Magazin heise.de Opfer
von Emotet. Es handelte sich um einen ausgeklügelten, mehrstufigen
Angriff, der von heise vorbildlich und transparent aufgearbeitet wurde.
Die detaillierten Untersuchungsergebnisse wurden veröffentlicht.
Sie können unter www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html den
gesamten Vorfall in allen Details nachlesen.
1.9 Zusammenfassung
und Prüfungstipps
Werfen wir einen kurzen Blick zurück: Was haben Sie gelernt,
wo stehen Sie und wie geht es weiter?
1.9.1 Zusammenfassung
und Weiterführendes
Sie haben in diesem Kapitel gelernt, was es mit dem Begriff »hacking«
bzw. »Hacker« auf sich hat, und haben festgestellt, dass wir hier
durchaus genau unterscheiden müssen, z.B. zwischen Scriptkiddie, White
Hat, Grey Hat und Black Hat bzw. dem Cracker.
Weiterhin haben wir Motive und Ziele von Hacking-Angriffen beleuchtet.
Ein ganz elementares Konzept, das Sie sich unbedingt zu Eigen
machen sollten, ist das »Ethical Hacking«. Hierbei geht es darum,
als White Hat Hacker die Kunst des Hackings einzusetzen, um die
Sicherheit von Computersystemen und -netzwerken zu verbessern. Wenn
Sie die Zukunft Ihrer Karriere im Ethical Hacking sehen, dann sollten
Sie sich überlegen, die Prüfung zum Certified Ethical Hacker zu
absolvieren.
Es ist wichtig, beide Seiten zu berücksichtigen. Daher haben
wir vorübergehend einen Perspektiv-Wechsel vorgenommen und betrachtet,
welche Schutzziele es gibt und wie sie von den IT-Sicherheitsbeauftragen
verfolgt werden. Der Abkürzung CIA stehen die englischen
Begriffe Confidentiality (Vertraulichkeit), Integrity (Integrität)
und Availability (Verfügbarkeit) gegenüber. Dazu kommt in manchen
Betrachtungen noch die Authenticity (Authentizität) bzw.
die Non Repudiation (Nichtabstreitbarkeit). Beides wird aber
häufig auch unter der Integrität zusammengefasst. Die Herausforderung
für einen IT-Sicherheitsbeauftragten ist die Sicherstellung der
Schutzziele einerseits, ohne andererseits die Benutzerfreundlichkeit
und die Funktionalität zu stark einzuschränken – sonst heißt es
am Ende: »Operation gelungen, Patient tot!«
Wird das White Hat Hacking im Rahmen eines abgesprochenen
Audits durchgeführt, so nennt sich dieser Prozess Penetrationstest,
oder in der englischen Form: Penetration Test bzw. kurz: Pentest. Dabei
werden die Computersysteme und/oder das Netzwerk des Auftraggebers
nach detaillierter Absprache systematisch auf Schwachstellen untersucht.
Hierzu bedient sich der Pentester professioneller Hacking-Methoden.
In diesem Zusammenhang haben Sie die Phasen eines Hacking-Angriffs
kennengelernt, die aus dem Ausspähen (Reconnaissance), dem Finden
von Schwachstellen (Scanning), dem aktiven Eindringen (Gaining
Access), dem Festsetzen im Opfer-System (Maintaining Access)
sowie der Verwischung der Einbruchsspuren (Clearing Tracks)
besteht. Im Rahmen eines Pentests werden einige der Phasen angepasst,
da es hier insbesondere um das Aufzeigen und Dokumentieren von Schwachstellen
geht.
1.9.2 CEH-Prüfungstipps
In diesem ersten Kapitel sind schon einige wichtige Begriffe
und Konzepte enthalten, die in der Prüfung abgefragt werden können.
Hierzu zählen die unterschiedlichen Hackertypen, die Schutzziele und
die Phasen eines Hacking-Angriffs. Stellen Sie sicher, dass Sie
Hacking-Aktivitäten den einzelnen Phasen zuordnen können und dass
Sie verstanden haben, welche Schutzziele durch bestimmte Maßnahmen
sichergestellt bzw. bedroht werden. Letzteres werden Sie im Laufe
dieses Buches immer wieder gegenüberstellen können.
1.9.3 Fragen
zur CEH-Prüfungsvorbereitung
Mit den nachfolgenden Fragen können Sie Ihr Wissen überprüfen.
Die Fragestellungen sind teilweise ähnlich zum CEH-Examen und können
daher gut zur ergänzenden Vorbereitung auf das Examen genutzt werden.
Die Lösungen zu den Fragen finden Sie in Anhang A.
Welcher Hacker-Typ hat beschränkte oder
kaum Kenntnisse im Security-Bereich und weiß lediglich, wie einige
einschlägige Hacking-Tools verwendet werden?
Black Hat Hacker
White Hat Hacker
Scriptkiddie
Grey Hat Hacker
Cracker
Welche der im Folgenden genannten Phasen ist die wichtigste
Phase im Ethical Hacking, die häufig die längste Zeitspanne in Anspruch
nimmt?
Gaining Access
Network Mapping
Privilege Escalation
Footprinting
Clearing Tracks
Ein CEH-zertifizierter Ethical Hacker wird von einer Freundin
angesprochen. Sie erklärt ihm, dass sie befürchtet, ihr Ehemann
würde sie betrügen. Sie bietet dem Ethical Hacker eine Bezahlung
an, damit er in den E-Mail-Account des Freundes einbricht, um Beweise
zu finden. Was wird er ihr antworten?
Er lehnt ab, da der Account nicht
der Freundin gehört.
Er sagt zu, da der Ehemann unethisch handelt und die Freundin
Hilfe benötigt.
Er sagt zu, lehnt aber die Bezahlung ab, da es sich um einen
Freundschaftsdienst handelt.
Er lehnt ab und erklärt der Freundin, welcher Gefahr sie
ihn damit aussetzt.
Die Sicherheitsrichtlinie (Security Policy) definiert die
Grundsätze der IT-Security in der Organisation. Für einige Bereiche
gibt es ggf. Sub-Policys, wie z.B. Computer-Sicherheitsrichtlinie,
Netzwerk-Sicherheitsrichtlinie, Remote-Access-Richtlinie etc. Welche
drei der im Folgenden genannten Ziele sollen damit sichergestellt
werden?
Availability, Non-repudiation, Confidentiality
Authenticity, Integrity, Non-repudiation
Confidentiality, Integrity, Availability
Authenticity, Confidentiality, Integrity
Welcher Phase eines Hacking-Angriffs kann die Installation
eines Rootkits zugerechnet werden?
Reconnaissance
Scanning
Gaining Access
Maintaining Access
Clearing Tracks
![[Bild]](../Images/Kap01_eccouncil-certification-path.png)
![[Bild]](../Images/Kap01_triangle.png)
![[Bild]](../Images/Kap01_hacking-steps.png)