Gehen Sie "zero admin"!
Über Dekaden war ‚root‘ der heilige Gral des Hacking. Was aber, wenn es so etwas nicht gibt? Was nicht da ist kann man schließlich nicht stehlen.
Wenn Sie also nicht der Tradition verhaftet sind, gehen Sie doch "zero admin". Dazu bereinigen Sie alle hoch privilegierten Gruppen von permanenten Mitgliedern. So fungieren die Admins als nicht-privilegierte User, bis sie etwas erledigen müssen. In diesem Fall stellt der Admin eine Anfrage auf einen Account oder eine limitierte Session. Bei diesem Vorgang ist jedes Mal ein neues Passwort erforderlich. Wenn es gestohlen wird, ist es also ohnehin wertlos.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Diese Strategie der "Just-in-time"-Nutzerdaten, die nur die nötigsten Rechte zugestehen, ist hocheffektiv. Ein Audit stellt in diesem Fall ebenfalls kein Problem dar, weil die Rechte beantragt und gerechtfertigt werden müssen. Es könnte aber schwierig sein, sich aller Ultra-Admins in Ihrer Umgebung zu entledigen. Aber: Je weniger es davon gibt, desto sicherer sind Sie unterwegs.
Sichern Sie Ihre Admin-Workstations ab!
Eine weitere Option, um das Risiko einer bösartigen Hacker-Attacke zu minimieren, ist die Verwendung von Secure Administrative Workstations (SAW). Statten Sie alle Ihre Admins mit solchen speziell abgesicherten (physischen oder virtuellen) Workstations aus. Dabei handelt es sich um Systeme, die keine Verbindung zum Internet aufbauen können, eine obligatorische Zwei-Faktor-Authentifizierung und ein limitiertes Set von Programmen auf der Whitelist haben. Wenn Sie eine hochsichere Umgebung für Ihre Administratoren und deren Arbeit schaffen, haben es kriminelle Hacker erheblich schwerer, wenn sie an Ihre Daten-Kronjuwelen wollen.
Hacken Sie sich selbst!
Die besten Softwareentwickler hacken ihren eigenen Code. Oder sie lassen das andere für Sie tun. Wenn Sie selbst zur Tat schreiten wollen, können Sie das manuell erledigen oder mit Hilfe eines Code Review Tools. In jedem Fall sollten Sie sicherstellen, dass es nicht der kriminelle Hacker ist, der als erstes ihren Programmcode knackt. Viele der größten Unternehmen der Welt setzen inzwischen auf White-Hat-Hacking und Bug-Bounty-Programme, bei denen hunderttausende Dollar zu holen sind.
Hängen Sie in Hacker-Foren ab!
Früher haben Hacker über öffentliche Websites miteinander kommuniziert. Nach einigen Verhaftungen hat die Szene aber festgestellt, dass es besser ist, im Verborgenen zu operieren. Deswegen hat sich das Geschehen nun vor allem auf private Foren verlagert. Dorthin gelangt man nur auf Einladung - ein Sicherheitsmechanismus, der dafür sorgen soll, dass ausschließlich kriminelle Hacker Zugang erhalten.
Unglücklicherweise (für die Cyberkriminellen) finden die Strafverfolgungsbehörden auch hier Mittel und Wege, um mitzulesen. Zugang erhalten die Behörden beispielsweise, indem sie festgenommene Mitglieder der cyberkriminellen Bande zu V-Männern umfunktioniert oder ihre Accounts schlicht übernimmt. Auch der Einsatz von Geld kann unter Umständen Zugang zu solchen Geheimforen eröffnen. Wenn man den einmal hat, ist es ein Leichtes, Details über die Pläne der Kriminellen zu erfahren. Und brühwarm weiterzutragen. Hier gilt das Gleiche wie im letzten Absatz zu "Durchforsten Sie Hacker-News".
- Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar. - Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar. - Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar. - Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
Tracken Sie Ihren Hacker!
Die Identität eines bösartigen Hacking-Fetischisten offenzulegen, ist ebenfalls ein guter Weg zu mehr IT-Sicherheit. Im Aufspüren von Hackern gibt es wohl kaum einen Besseren als den Security-Experten Brian Krebs. Er nutzt dazu DNS Lookups, Domain-Register und eine über Jahre zusammengetragene Liste mit den Fake-Identitäten der Hacker. Irgendwann (am wahrscheinlichsten vor der Black-Hat-Karriere) hat nämlich auch ein Hacker - zumindest kurz - seinen Schleier gelüftet. Etwa indem er E-Mails gecheckt oder Social-Media-Accounts genutzt hat. In einem Fall konnte Brian Krebs ein Familienfoto des Hackers auf Facebook ausfindig machen - es war ein früher Besuch in Disney World.
Die Nachforschungen, die Brian Krebs betreibt, enden oftmals mit einer Festnahme und gehören zu den besten True-Crime-Geschichten überhaupt. Sie tun also gut daran, jetzt KrebsOnSecurity zu besuchen und zu lesen. Lernen Sie vom Meister und gehen Sie auf die Jagd!
Locken Sie den Hacker hinter Gitter!
Es ist niemals empfehlenswert, einen kriminellen Hacker persönlich zu konfrontieren. Wenn Sie aber die Strafverfolgungsbehörden mit an Bord holen, kann diese Strategie zum Erfolg führen. Denn allzu oft kennen Security-Spezialisten die Identität eines Cyberkriminellen, können ihm aber nichts anhaben. Das liegt meist daran, dass diese in Ländern sitzen, wo die Spezialisten keine Handhabe besitzen. Deshalb gehen IT-Sicherheits-Unternehmen inzwischen dazu über, zu warten, bis ihre "Ziele" sich in einem "günstigen" Land aufhalten (etwa im Rahmen einer Urlaubsreise) und sorgen dann dafür, dass der Kriminelle behördlich aus dem Verkehr gezogen wird.
- Cyber's Most Wanted
Sie arbeiten für die chinesische Regierung, spionieren die Privatsphäre von Millionen Menschen skrupellos aus oder bereichern sich auf Kosten argloser Internetsurfer. Für Cyberkriminelle führt das FBI eine eigene "Most Wanted"-Liste. Wir zeigen Ihnen die meistgesuchten Hacker, Cracker und Web-Bauernfänger. - Firas Dardar
Firas Dardar ist vermutlich in Aktivitäten der "Syrian Electronic Army" (SEA) verstrickt, die im Auftrag der syrischen Regierung zwischen September 2011 und Januar 2014 verschiedene Ziele mit Hacking-Attacken unter Beschuss genommen hat - darunter IT-Systeme der US-Regierung, von Medienkonzernen und anderen Unternehmen. Dardar agierte dabei wohl unter dem Nicknamen "The Shadow". Darüber hinaus werden ihm mehrere Cybererpressungen von amerikanischen und internationalen Unternehmen zur Last gelegt. Das FBI geht davon aus, dass Dardar derzeit im syrischen Homs lebt und auch unter den Hackernamen "Ethical Dragon" und "Ethical Spectrum" aktiv ist. Für Informationen, die zur Festnahme von Firas Dardar führen, bietet das FBI eine Belohnung von bis zu 100.000 Dollar. - Ahmed Al Agha
Al Agha ist auch als "Th3 Pr0" bekannt und soll ebenfalls zur "Syrian Electronic Army" gehören. Er wird beschuldigt, für die SEA zwischen 2011 und 2014 Hackerangriffe gegen US-Regierungseinrichtungen, Medienkonzerne und Privatunternehmen getätigt zu haben. Auch er soll sich in seinem Heimatland Syrien aufhalten. Er ist vermutlich Anfang 20 und trägt eine Brille. Für die Festsetzung von Al Agha bietet das FBI bis zu 100.000 Dollar. - Evgeny Mikhalilovich Bogachev
Evgeny Mikhalilovich Bogachev, auch bekannt als "lucky12345" und "slavik", wird vorgeworfen, Mitglied einer kriminellen Vereinigung gewesen zu sein, die den Banking-Trojaner "Zeus" entwickelt und unters Volk gebracht hat, um Identitätsdiebstahl zu betreiben. Mittels einer Malware wurden die Rechner der Opfer unterwandert und Kontodaten, PINs und Passwörter ausspioniert. Erstmals aufgetaucht ist Zeus im Jahr 2009 - Bogachev nutzte damals seine berufliche Stellung als Administrator aus, um zusammen mit einigen Komplizen den Trojaner zu verbreiten.<br /><br />2011 kusierte dann eine modifizierte Zeus-Version namens "GameOver Zeus" (GOZ), die für mehr als eine Million infizierte Systeme weltweit und einen daraus resultierenden Schaden von 100 Millionen Dollar verantwortlich gewesen sein soll. Das FBI vermutet Bogachev auf seinem Boot auf dem Schwarzen Meer. Zudem besitzt er ein Anwesen im russischen Krasnodar, wo er sich ebenfalls aufhalten könnte. Da der durch Zeus verursachte Schaden so hoch ist, liegt die Belohnung des FBI für Hinweise auf Bogachev bei bis zu drei Millionen Dollar. - Nicolae Popescu
Popescu ist unter seinen Aliassen "Nae" und "Stoichitoiu" bekannt und wird wegen seiner Beteiligung an einer "ausgefeilten Internetbetrugsmasche" gesucht, so das FBI. Popescu soll auf Auktionsplattformen Artikel zum Verkauf angeboten haben, die es gar nicht gab und dafür Rechnungen real existierender Online-Bezahldienste gefälscht haben. Popescu hatte Komplizen in den USA, die mithilfe gefälschter Pässe Bankkonten unter falschen Namen eröffneten, damit ihnen Geld überwiesen werden konnte.<br /><br />Sobald die Opfer die Überweisungen vollzogen hatten, wurde das Geld an weitere Mittelsmänner weitergeleitet - zusammen mit Instruktionen per Mail. Popescu befindet sich bereits seit 2012 im Visier des FBI - damals wurde wegen Internetbetrugs, Geldwäsche, Passfälscherei und Falschgeldhandels ein Haftbefehl gegen ihn erlassen. Popescu spricht Rumänisch und hält sich möglicherweise in Europa auf. Die Belohnung für einen Hinweis, die zu seiner Festnahme führt, liegt bei bis zu einer Million Dollar. - Alexsey Belan
2012 und 2013 wurden große E-Commerce-Anbieter in den US-Bundesstaaten Nevada und Kalifornien digital angegriffen, um Kundendatenbanken zu kopieren und die abgezogenen Informationen zu verkaufen. Mutmaßlicher Drahtzieher: der Lette Alexsey Belan, der russisch spricht und sich vermutlich in Russland, Griechenland, Lettland, Thailand oder auf den Malediven aufhält. Seine bekannten Aliasse: Magg, M4G, My.Yawik und Abyrvaig. Das FBI glaubt, dass er mittlerweile eine Brille tragen und sich seine braunen Haare rot oder blond gefärbt haben könnte. Sein letzter bekannter Aufenthaltsort war Athen. Belohnung: 100.000 Dollar. - Jabberzeus Subjects
Die Mitglieder der Hackergruppe "Jabberzeus Subjects" werden wegen der Beteiligung an der Entwicklung und Verbreitung des bereits beschriebenen Banking-Trojaners Zeus gesucht. Zur Gruppe gehören Ivan Viktorvich Klepikov alias "petr0vich" und "nowhere", Alexey Dmitrievich Bron alias "thehead" und Vyacheslav Igorevich Penchukov alias "tank" und "father." Das FBI vermutet die drei derzeit in Russland und der Ukraine. Eine Belohnung für Hinweise auf die drei gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Carlos Enrique Perez-Melara
Carlos Enrique Perez-Melara soll an der Entwicklung einer Spyware beteiligt gewesen sein, die die Privatsphäre ahnungsloser Nutzer in umfangreichem Maße ausspioniert hat. Entwickelt wurde das Ganze ursprünglich als Software mit dem Namen "Catch a cheating lover". Sie funktionierte recht simpel: Der mutmaßliche Fremdgeher bekam vom Käufer der Software eine E-Card zugeschickt - sobald er oder sie sich diese anschaute, installierte sich eine Software auf dem Rechner, die Tastatureingaben, E-Mail-Verkehr und besuchte Websites mitschnitt.<br /><br />Danach verschickte der Dienst eine E-Mail an den Absender der E-Card mit allen aufgezeichneten Daten - so sollte sich dieser ein Bild machen können, ob sich der Verdacht einer Liebesaffäre untermauern ließ.<br /><br />Die Malware wurde als "Email PI", später dann als "Lover Spy" bekannt. Perez-Melara hielt sich mit Touristen- und Studentenvisum lange in den USA auf, hatte Kontakte ins kalifornische San Diego. Zuletzt gesehen wurde er aber in der salvadorianischen Hauptstadt San Salvador. Belohnung: 50.000 Dollar. - Sun Kailiang
Sun Kailiang ist Offizier beim chinesischen Militär und laut FBI in 31 Fällen angeklagt. Es geht um Computerbetrug, unerlaubten Computerzugriff aus finanziellen Motiven, Identitätsdiebstahl, Wirtschaftsspionage und den Diebstahl von Handelsgeheimnissen. Zusammen mit anderen hochrangigen Mitgliedern der Armee setzte Kailiang sein Fachwissen dazu ein, um in die Netze diverser amerikanischer Unternehmen einzudringen, die Geschäftsbeziehungen mit chinesischen Staatsunternehmen pflegten. Darüber hinaus wird Kailiang beschuldigt, persönliche Informationen und Geschäftsgeheimnisse von Atomkraftwerken gestohlen, die Computer von Einzelpersonen infiltriert und mit Schadcode infizierte E-Mails verschickt zu haben. Eine Belohnung für Hinweise auf Kailiang gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Huang Zhenyu
Auch Zhenyu gehört zu den beschuldigten chinesischen Soldaten, die sich an Computerspionage und -sabotage von US-Systemen im großen Stil beteiligt haben sollen. Eine Belohnung für Hinweise auf Zhenyu gibt es ebenfalls nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat. - Wen Xinyu
Wen Xinyu ist ein dritter gesuchter Chinese, der sich an den Aktionen gegen US-Unternehmen, die Geschäfte mit der Volksrepublik gemacht haben, beteiligt haben soll. Als "WenXYHappy", "Win_XY" und "Lao Wen" soll er eine entscheidende Rolle in der technischen Abwicklung der Hackerangriffe gespielt haben. Auch hier hat das FBI keine Belohnung ausgelobt, bittet aber um Hinweise.
Eine der besten Methoden, um einen kriminellen Hacker zu seiner eigenen Festnahme zu locken, ist, ihn zu einem vermeintlichen Job-Interview einzuladen. Das findet natürlich in einem Land statt, in dem man dem Cyberschurken habhaft werden kann. Das funktioniert auch bei solchen Personen gut, die nach Jahren der kriminellen Machenschaften nun legales Einkommen erzielen wollen. Unter Umständen kommt man so auch an Passwörter oder andere Login-Daten des Digital-Unholds.
In so einem Fall ist ein schlechtes Gewissen übrigens fehl am Platz. Wer weiß schon wirklich, wie es um die Absichten eines kriminellen Hackers steht? Und selbst wenn er wirklich die dunkle Seite verlassen möchte: Nachdem er seine Strafe abgesessen hat, stehen ihm vermutlich immer noch alle Job-Chancen auf der White-Hat-Seite offen. Und Strafe muss schließlich sein. (fm/sh)
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation infoworld.com.