... die Integrität und Vertrauenswürdigkeit eines Systems auszubauen. Geht er dabei methodisch vor, besteht eine gute Chance, die Auswirkungen bekannter Angriffsarten bereits im Testbetrieb auszuwerten und der Applikation noch vor ihrer Bereitstellung im Produktionsbetrieb eine höhere Sicherheit zu attestieren, beispielsweise durch die folgenden Fragestellungen:

• Was kann ein Eindringling auf dem Zielsystem sehen?
• Welche Server und Devices sind im Netzwerk sichtbar und erreichbar?
• Wie kann der Eindringling diese Informationen gegen das Unternehmen einsetzen?
• Sind die Versuche und Erfolge des Eindringlings in den Systemen nachvollziehbar?
• Welche Systeme sind im Unternehmen zu schützen?
• Gegen wen oder was muss geschützt werden?
• Welcher Schutz ist jeweils angemessen?
• Welche Mittel ist das Unternehmen für ausreichenden Schutz bereit zu investieren?

Die Aufgabe des Ethical Hackers besteht darin, die Systeme eines Unternehmens hinsichtlich der bis dato bekannten Hacking- Angriffe abzusichern. Da ein vollständiger Schutz vor neuen Spielarten und Angriffstypen grundsätzlich nicht möglich ist, bemüht er sich um die Installation von Detect-, Alert- und Log-Mechanismen, um eventuelle Einbrüche bis zum Verursacher nachvollziehen zu können.

Bevor Sie weiterlesen...

Wer Daten, welche nicht für ihn selbst bestimmt sind, unbefugt ausspäht, unbrauchbar macht, verändert oder eine fremde Datenverarbeitung stört, muss mit einer Freiheitsstrafe von bis zu fünf Jahren oder aber einer Geldstrafe rechnen. Dies wird in den folgenden Paragraphen des Deutschen Strafgesetzbuchs (StBG) geregelt:

• § 202a: Ausspähen von Daten
• § 303a: Datenveränderung
• § 303b: Computersabotage

Bereits der Versuch der Datenveränderung oder Computersabotage ist strafbar. Der interessierte Leser sei sich darüber im Klaren, dass die in diesem Artikel vorgestellten Werkzeuge und Verfahrensweisen nicht ohne ausdrückliche schriftliche Genehmigung des Eigentümers und des Administrators der betroffenen Netzwerke und Computersysteme angewandt werden dürfen.

Die in diesem Artikel dargestellten Beispiele beziehen sich aus diesem Grund nicht auf Echtsysteme; stattdessen wurden die in den Abbildungen aufgeführten Hostnamen, IP-Adressen und Accounts frei erfunden. Eventuelle Übereinstimmungen mit realen Devices wären rein zufällig.

Hacking

Abbildung 1 veranschaulicht die methodische Vorgehensweise eines Hackers bei dem Versuch, in das Netzwerk eines Unternehmens einzubrechen:

Bevor eine Verbindung mit einem Rechner des Unternehmens hergestellt wird, holt sich der Hacker möglichst viele Informationen über das Unternehmensnetzwerk ein, beispielsweise den dem Unternehmen offiziell zugeteilten IP-Adressbereich. Mithilfe automatisierter Scanner überprüft der Hacker, hinter welchen IPAdressen im Netzwerk sich aktive Komponenten befinden, um welche Devices es sich dabei handelt, welche Betriebssysteme darauf installiert sind und welche Dienste darauf bereitgestellt werden. Anschließend verschafft sich der Hacker an geeigneter Stelle einen Zugang in das Netzwerk, beispielsweise durch die Anwendung bekannter Exploits. Hat er die Kontrolle über einen Rechner erlangt, wird der kompromittierte Rechner ausspioniert. Oft werden die darauf installierten Dienste gestört oder modifiziert. In jedem Fall installiert der Hacker ein Backdoor-Programm, um zu einem späteren Zeitpunkt wieder auf das System zugreifen zu können. Abschließend verwischt er durch Löschen der vom System erzeugten Protokolleinträge seine Spuren, damit nicht auffällt, dass der Rechner fremdgesteuert und von einem Hacker übernommen wurde.

Erkundung

Das Herstellen einer Verbindung mit einem Rechner birgt die Gefahr, dass der Eindringling entdeckt wird, daher erfolgt die vorangehende Recherche ohne elektronischen Kontakt zu dem Zielnetzwerk. Ein gut vorbereiteter Hacker verbringt circa 90 Prozent seiner Zeit mit der Erstellung eines Sicherheitsprofils (Footprinting). Nur circa 10 Prozent Aufwand wird für die Lancierung des eigentlichen Angriffs aufgewendet. Für die Zusammenstellung eines Sicherheitsprofils gibt es verschiedene Ansätze:

• Abfrage der Nameserver-Einträge für die Domänen des Unternehmens (DNSReport, whois)
• Spiegelung der gesamten Website und anschließende Recherche auf der lokalen Kopie (insbesondere in den HTMLKommentaren und -Meta-Tags)
• Google-Hacking: Abbildung 2 zeigt am Beispiel von DNSstuff.com [1], welche Informationen im Internet über das Netzwerk eines Unternehmens frei verfügbar sind:
  
  Ein Hacker erhebt eine Vielzahl mehr an Informationen als hier abgebildet, unter anderem über

  - Domänen des Unternehmens
  - zugeteilte IP-Blöcke
  - Netzwerkdienste und -applikationen
  - Systemarchitektur
  - Kontaktinformationen

Stellenanzeigen im Internet können Aufschluss über die eingesetzten Betriebssysteme, Firewalls und Netzwerk-Devices geben, sodass sich erste Ansätze über die Netzwerktopologie und über die Systemarchitektur ergeben. Intelligente Suchabfragen über Google bringen erstaunliche Erkenntnisse zu Tage. Der Kasten "Google Hacking" zeigt, wie man zum Beispiel wertvolle Informationen über Betriebssysteme, Server-Versionen und Datenbanken sammeln kann, ohne sich ein einziges Mal mit dem Zielnetzwerk verbinden zu müssen.

Die Liste lässt sich beliebig erweitern. Hacker suchen via Google nach den Login- Seiten eines Unternehmens, nach Benutzernamen und Passwörtern, nach Backups und temporären Dateien, nach Fehlermeldungen von Webservern, Datenbanken und Programmiersprachen, nach Konfigurationsdateien, Office-Dokumenten (deren Eigenschaften nützliche Informationen wie beispielsweise interne Accountnamen enthalten können) und vielem mehr. Üblicherweise werden solche Recherchen nicht manuell, sondern ...