IT-Risk Managmenet - Risiken und Gefahren

Inhaltsverzeichnis

1 Themenübersicht

2 Allgemeine Gefahren

3 Anatomie eines Hackerangriffes
3.1 Footprinting
3.2 Scanning
3.3 Zugriff zum Zielsystem verschaffen
3.4 Zugriffsrechte ausbauen
3.5 Exploiting the System
3.6 Zugriff auf das System aufrecht erhalten
3.7 Spuren vernichten

4 Methoden der Ausnutzung von Schwachstellen
4.1 Denial of Service Attacks
4.2 Man in the Middle Attacks
4.3 Session Hijacking
4.4 Spoofing
4.4.1 IP-Spoofing
4.4.2 DNS-Spoofing
4.4.3 RIP-Spoofing
4.4.4 ARP-Spoofing
4.4.5 Mail-Spoofing
4.5 Social Engineering
4.6 Physikalisches Eindringen

5. Malware
5.1 Viren
5.2 W¨urmer
5.3 Trojaner
5.4 Spyware

6 Computer Forensic

7 Res¨umee

8 Ausblick

Literatur

1 Themenübersicht

Das Thema Risiken und Gefahren im IT-Bereich ist äußerst vielfältig: Ei­nerseits gibt es natärlichen Gefahren, wie Feuer oder Hochwasser. Diese sind jedoch nicht unbedingt IT-spezifisch und werden daher in dieser Arbeit nur in einem kurzen Abschnitt behandelt. Schwerpunkt sind vielmehr die Risi­ken, die von Personen in bäswilliger und krimineller Absicht ausgehen. Diese Risiken gewinnen heutzutage immer mehr an Bedeutung: Eine Studie des Computer Security Insitut (CSI) und des Federal Bureau of Investigation (FBI) [4] beziffert den wirtschaftlichen Schaden durch Hackerangriffe und dem daraus entstehenden Informationsverlust im Jahre 2002 auf äber 455 Millionen US-Dollar¹.

Der Oberbegriff des Hackers² bezeichnet allgemein IT-Experten, die ihr Wis­sen dazu nutzen, in fremde Computersysteme einzudringen. Schenkt man je­doch dem Jargon der Szene Beachtung, teilt sich die Gruppe der Hacker in unterschiedliche Richtungen auf. Hier wird der boäsartige Hacker als Black Hat Hacker“³ oder als Cracker⁴ bezeichnet. Auch der Begriff „Cyber Van­dale“ ⁵ ist in diesem Kontext zu finden.

Wer ohne das Hintergrundwissen eines Hackers dessen Vorgehen nur mit Hilfe fertiger Programme bewerkstelligt wird im Jargon als „Script-Kiddie“⁶ bezeichnet. Im Gegensatz zu den „Black Hat Hackern“ gibt es die „White Hat Hacker“⁷. Diese dringen in Systeme ein, nicht um Schaden anzurichten, sondern um die Schwachstellen des betroffenen Systems aufzuzeigen. Es soll­te in Erinnerung bleiben, dass die Motivation der Hacker sehr vielfaältig sein kann, auch wenn im folgenden diese Abgrenzung nicht mehr vorgenommen wird.

Um aufzuzeigen, wie die Anatomie eines Hacker-Angriffes aussehen kann, wird in Kapitel 3 der chronologische Ablauf vom Footprinting bis zur Ver­nichtung der Spuren eines Angriffes beschrieben.

Man in the Middle“ Attacken oder Social Engineering“ sind Methoden, derer sich Hacker bedienen, indem sie Schwachstellen ausnutzen. Diese und weitere Angriffsszenarien sollen die weitreichenden Mäglichkeiten von Ha­ckern ins Bewusstsein räcken und zeigen, dass selbst vermeintlich sichere Systeme mit einfachen Mitteln zu umgehen sind.

Der Abschnitt Malware“ stellt kleine Programme vor, die einem Hacker entweder beim Eindringen in ein Computersystem helfen oder nur geschrie­ben wurden, um aus Böswilligkeit, Spaß o.ä. Schaden zu verursachen.

Zum Abschluss soll das Thema „Computer Forensic“ behandelt werden. Die­ses Gebiet umfasst die elektronische Beweisführung, um gegen Angreifer vorzugehen. Bei den meisten Methoden hinterlüsst ein Hacker Spuren, die gesichert werden müssen, um den Angreifer zuerst zu identifizieren und dann zu überführen.

2 Allgemeine Gefahren

Allgemeine Gefahren⁸können nicht verhindert werden, ein Unternehmen kann lediglich Vorkehrungen treffen, um die Folgen von eingetretenen Gefah­ren zu mildern oder gar abzuwehren. Eine exemplarische Auflistung einiger Gefahren soll diese in verschiende Kategorien einordnen:

- Naturkatastrophen wie Blitzeinschlage, Feuer, Hochwasser, Sturm oder Erdbeben
- infrastrukturelle und technische Gefahren wie Stromausfall, Überspan­nungen, Ausfall der Klimaanlage, Wasserrohrbruch oder der Ausfall von Hardwarekomponenten
- Gefahren durch Personen, entstanden durch Unwissenheit oder mensch­liches Versagen
- politische Gefahren wie Terroranschlage oder kriegerische Auseinan­dersetzungen

Welche Maßnahmen zum Schutz vor den Auswirkungen dieser Gefahren er­griffen werden können, wird im Thema 3: „Business Continuity Planning“ dieses Seminars vorgestellt. Neben diesen allgemeinen Gefahren setzt sich ein Unternehmen durch den Einsatz von IT dem Risiko aus, der Computer- kriminalitöt zum Opfer zu fallen.

3 Anatomie eines Hackerangriffes

Angriffe auf ein System erfolgen in der Regel nach einem bestimmten Mus­ter. Grob betrachtet versucht ein Hacker zunächst, an Informationen über das Zielsystem zu gelangen. Die Methoden dazu sind in den nachsten Un­terkapiteln „Footprinting“ und „Scanning“ erläutert. Mit müglichst gutem Wissen über das Ziel kann es gelingen, sich Zugriff darauf zu verschaffen. Danach sind zunächst die Zugriffsrechte noch sehr gering und werden daher ausgebaut. Wer so weit gekommen ist hat normalerweise keine Probleme mehr, dass System für seine Zwecke zu nutzen oder es zu schädigen. Um dies auch dauerhaft tun zu können werden jetzt Mittel benötigt, um den Zugriff aufrecht zu erhalten. Sehr wichtig ist auch der letzte Schritt: Jeder Angriff hinterlässt Spuren, zum Beispiel in Log-Dateien. Damit der Angriff bestenfalls gar nicht bemerkt wird, mässen diese Spuren beseitigt werden. Spätestens jetzt hat der Hacker gewonnen. Es wird fär ihn leicht sein, nach Belieben das Angriffsmuster zu wiederholen - nur ist der Aufwand viel ge­ringer geworden.

Die aufgefuährten Schritte sind in einer logischen Reihenfolge angeordnet. Je nach Ziel des Hackers kann es aber durchaus sein, dass der Ablauf der Attacke etwas variiert, oder dass ein Schritt nicht benoätigt wird. Beispiels­weise koännte jemand nur einmalig in ein System eindringen wollen - dann braucht er natuärlich nicht den Zugriff dauerhaft aufrecht erhalten und hat es auch leichter, seine Spuren zu vernichten. In der Realitaät verschwimmen die Grenzen der im folgenden aufgefuährten Angriffsstufen natuärlich sehr stark. Viele äbliche Methoden und Hilfsmittel sind äußerst vielseitig einsetzbar. Trotzdem kann die Kategorisierung das grundsatzliche Verständnis erleich­tern und einen guten Uberblick verschaffen.

3.1 Footprinting

Bevor Überlegungen zum Angriff getätigt werden, findet zunächst das Foot­printing statt. Das bedeutet, es werden systematisch Informationen äber die Ziel-Organisation gesammelt, die den Aufbau der genutzten Informations­technologie betreffen.

Einen wesentlichen Teil stellt heute die Nutzung des Internets dar. Einfach herauszufinden sind zum Beispiel die Webseiten der Organisation mittels Anfragen an die InterNIC Datenbank oder Suchmaschienen wie Google. Auf ihnen koännen schon jede Menge interessante Details zu finden sein. Weiter­gehend lassen sich auch einige Informationen äber die registrierten Domain­namen per WhoIs-Anfragen“ beim Registrar herausfinden, zum Beispiel Name, Adresse und Telefonnummer des angegebenen Administrators.

Mit diesem Wissen lässt sich weiterforschen: DNS-Server kännen Aufschluss äber verwendete IP-Adressen geben. Wenn vorhanden erhält man hier auch die Adresse des Mailservers, der sich meist an zentraler Stelle im Netzwerk befindet und somit ein potenzielles Ziel darstellt.

Um näheres zur Netzwerk-Topologie zu erfahren bietet sich Tracerouting zu gefundenen Rechnern an. Aus den zuräckkommenden Antworten lässt sich auf existierende Router und Firewalls schließen.

Mit etwas Gläck bietet das Internet noch mehr Möglichkeiten: Weitere an­gebotene Dienste (z.B. FTP) und Informationen äber das lokale Netzwerk (Intranet) sind oftmals nicht schwierig herauszufinden. Interessant fär das Footprinting kännen aber auch ganz andere, eher untechnischere, Dinge sein, die auf den ersten Blick als unwichtig erscheinen. Telefonnummern, Namen von Mitarbeitern, Wissen äber die ärtlichen Begebenheiten, usw. kännen aber später doch eine enorme Bedeutung erlangen, wie in 4.5 auf Seite 13 „Social Engineering und 4.6 auf Seite 14 Physikalisches Eindringen klar wer­den wird. Zur IT-Sicherheit gehärt eben nicht nur die verwendete Hard- und Software.

Das Ergebnis am Ende des Footprintings ist ein mäglichst vollständiges Pro­fil, das die IT-Struktur der Organisation detailliert wiedergibt. Das Footprin­ting an sich stellt noch keinen Angriff dar und ist normalerweise vollkommen legal. Daher lässt es sich auch nicht verhindern - ein Unternehmen sollte je­doch sehr achtsam darauf sein, welche Informationen äffentlich verfügbar sind und vielleicht Angriffspunkte darstellen konnten.[10]

3.2 Scanning

Mit den im Footprinting gewonnenen oäffentlichen IP-Adressen sind bereits potenzielle Angriffsziele bekannt geworden. Beim Scanning werden diese Zie­le genauer untersucht. Zunächst lassen sich durch sogenannte Ping Sweeps⁹¹⁰10 auf ganze Adressbereiche die Zielrechner der Organisation ausfindig ma­chen, die zur Zeit im Internet verfägbar sind. Die Menge der Ziele wird dadurch konkreter.

Jetzt kann ein gezieltes Port Scanning erfolgen¹¹, das heißt es wird versucht, auf bestimmten TCP und UDP Ports Verbindungen aufzubauen. Dadurch laässt sich herausfinden, welche Dienste auf einem Rechner laufen, welche An­wendungen diese Dienste bereitstellen und welches Betriebssystem installiert ist.

Das Scanning ist schon ein erstes vorsichtiges Herantasten an das Zielsys­tem, um moägliche Schwachstellen ausfindig zu machen. Ein wirklicher Zugriff findet zwar noch nicht statt, aber die Scans koännten durchaus bemerkt wer­den. Doch die äblich verwendeten Tools bieten eine Vielzahl von Optionen, so dass es einige Varianten zu dem „normalen“ Ping bzw. Portscan gibt, die fast immer zum Ziel fähren und deren Erkennen nicht einfach ist .[10]

3.3 Zugriff zum Zielsystem verschaffen

Abhängig von den bisher gewonnen Ergebnissen bieten sich einem Hacker verschiedene Mäglichkeiten, sich Zugriff zum Zielsystem zu verschaffen. Er geht vom Sammelns allgemein zugänglicher Informationen dazu äber, ak­tiv in das System einzudringen. Es wird versucht, mägliche Schwachstellen auszunutzen, die oft in Mangeln der Software und deren Konfiguration be­stehen.

Ein Hacker wird sich dabei zunaächst weniger an einem Server oder ande­ren zentralen Rechnern versuchen, die in der Regel gut geschätzt sind. Viel einfacher und unauffälliger ist es, Zugriff auf eine normale Workstation zu erhalten.

Zunächst werden Benutzernamen und Netzwerkfreigaben untersucht. Je nach Betriebssystem und laufenden Diensten ist die Vorgehensweise etwas anders. Typische Angriffspunkte sind beispielsweise NetBIOS Freigaben, NIS und NFS. Auf manchen schlecht geschützten UNIX/Linux-Rechnern kann auch versucht werden, die zentrale Datei /etc/passwd herunterzuladen. Schlecht gewählte Passwärter sind oft zu finden und stellen ein gutes Ziel fär Brute Force - Attacken¹²dar. Mit der wachsenden Rechnerleistung ist es umso leichter, Passwärter durch vielfaches Ausprobieren herauszufinden¹³. Weitere beliebte Methoden sind außerdem in 4 auf Seite 10, „Methoden der Ausnutzung von Schwachstellen“, dargestellt.

3.4 Zugriffsrechte ausbauen

Normalerweise ist es nicht moäglich, sofort den vollen Zugriff auf das Ziel­system zu erhalten. Der Administrator- bzw. root -Account ist meistens gut geschätzt. Hat man jedoch Benutzernamen und Kennwort eines normalen Benutzers, der zumindest eingeschraänkte Rechte besitzt, so wird ein Hacker versuchen, diese Rechte weiter auszubauen. Im Erfolgsfall hat er dann die gleichen Rechte wie ein Administrator und somit die volle Kontrolle äber das System.

Auch mit Administratorrechten ausgestattet kann es nuätzlich sein, weite­re Passwoärter ausfindig zu machen, um in Zukunft wieder eindringen zu koännen und mäoglichst unauffaällig zu agieren. Daraufhin hat ein Angreifer zwar die Kontrolle äber einen Rechner, wahrscheinlich eine Workstation, auf der nicht viele interessante Daten zu finden sind. Er wird daher versuchen, Zugriff auch auf andere, viel wichtigere Systeme zu erlangen, wie beispiels­weise einen Fileserver. Oft genug kommt es vor, dass solche Rechner prin­zipiell zwar besser geschätzt sind, aber das Administrator-Kennwort genau das gleiche ist.

[...]

¹ Die Höhe des Schadens entstammt nur der Angabe von 40% der Befragten, die in der Lage oder Willens waren diesen zu quantifizieren

² http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=hacker

³ http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=BlackHatHacker

⁴ http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=cracker

⁵ http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=cybervandal

⁶ http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=ScriptKiddies

⁷ http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key=WhiteHatHacker

⁸ Definition des Begriffes „Gefahr“ und eine Abgrenzung zum Begriff „Risiko“ findet sich im Thema „Grundlagen des IT-Risk-Managements“

⁹ http://whatis.techtarget.com/definition/0, ,sid9_gci802721,00.html

¹⁰ Tools hierfür sind z.B. fping und gping

¹¹ das müchtigste Tool hierfür ist nmap

¹² http://www.teia.de/teiaweb/lexikon/lexikon.php?ref=g\&key= bruteforceattack

¹³ bekannte Tools sind etwa LOphtcrack oder John the Ripper