Hacker der dritten Art
Von: Dr. Gerhard Eschelbeck
Man muss kein "Hackergenie" mehr sein, um weltweit immense Schäden anrichten zu können. Das Internet bietet Eindringlingen eine weltweite Angriffsfläche. Einbruchsversuche werden dadurch begünstigt, dass die Netzwerkgrenzen aufgrund zahlreicher neuer Zugangspunkte wie Funknetze und Virtual Private Networks immer durchlässiger werden. Außerdem entstehen durch die komplexerenNetzwerke und Anwendungen Tausende neuer Schwachstellen. Und die Angriffe sind raffinierter: Neue, automatisierte Angriffswerkzeuge lassen sich leicht anwenden und überfluten das Internet im Handumdrehen mit zerstörerischen Bedrohungen, bevor die Sicherheitsadministratoren reagieren können.
Zusätzlich begünstigt werden neue Einbrüche durch das Zusammenwirken weiterer technischer und betrieblicher Faktoren. Viele populäre, auf Standards basierende Netzwerkdienste wie telnet, ftp und SNMP sind von Natur aus unsicher. Die Voreinstellungen von Systemen sind wohlbekannt und werden nach der Installation oft nicht verändert: Hierzu gehören auch Login-Namen und Passwörter. Weil die verwendeten Techniken so komplex sind, kommt es oft zu Designfehlern, etwa, was den Setup und die Zugangskontrolle anbelangt. Tagtäglich werden Fehler bei der Software-Implementierung entdeckt und bekannt gemacht, beispielsweise mangelnde Eingabevalidierung oder Pufferüberläufe. Und schließlich lösen die Nutzer oft selbst unwissentlich Einbrüche aus durch scheinbar harmlose E-Mails oder einfach dadurch, dass sie im Internet surfen.
Die Bedrohungen, die die erwähnten Sicherheitsprobleme ausnutzen, treten nunmehr in die dritte Generation ein. Die erste Generation war durch Virenattacken gekennzeichnet, die durch Anwenderaktionen wie E-Mail und gemeinsame Dateinutzung begünstigt wurden. In der nächsten Generation herrschten die aktiven Würmer vor, die bekannte Schwachstellen nutzten und sich automatisch ohne Anwendereinwirkung verbreiteten.
Die Bedrohungen der dritten Generation unterscheiden sich von den früheren sowohl durch die Fortpflanzungsgeschwindigkeit als auch durch die Strategien, mit denen sie ihre Opfer auswählen. Das Ziel besteht darin, in der ersten Stunde in so viele Systeme wie nur möglich einzubrechen, weil dadurch ein Gegenschlag praktisch ausgeschlossen wird. Die Bedrohungen dieser Generation werden neue anfällige Ziele systematisch im Voraus identifizieren, um die Schäden zu maximieren. Teilweise werden sie unbekannte Sicherheitslücken ausnutzen und mehrere Angriffsvektoren führen, was die Abwehr erschwert. Es ist unbedingt erforderlich, regelmäßige Sicherheits-Audits durchzuführen, damit Schwachstellen gefunden und behoben werden können, bevor Bedrohungen der dritten Generation gestartet werden.
Jüngste Sicherheitsattacken weisen erste Merkmale von Malware der dritten Generation auf und demonstrieren eindringlich, welch verheerende Auswirkungen künftige Angriffe haben können. So befiel beispielsweise der "SQL-Slammer"-Wurm am 25. Januar 2003 innerhalb kürzester Zeit mehr als 120 000 Microsoft SQL Server. Er legte dadurch den Internetverkehr in Südkorea lahm, setzte die Kassenautomaten einer US-Großbank außer Gefecht, unterbrach den Betrieb von 911 Callcentern in Seattle und verursachte weltweit weitere schwere Störungen. SQL Slammer war der schnellste Wurm, den es je gab. Mehr als 90 Prozent der betroffenen Hosts wurden innerhalb von zehn Minuten infiziert. In der ersten Minute verdoppelte sich die Größe der infizierten Population alle 8,5 Sekunden; nach nur drei Minuten war eine Gesamt-Scanning-Rate von mehr als 55 Millionen Scans pro Sekunde erreicht.
SQL Slammer zeigt bereits jene ultraschnelle Fortpflanzung, die für Angriffe der dritten Generation charakteristisch ist, gilt aber immer noch als Bedrohung der zweiten Generation. Der "Exploit" nutzte eine wohlbekannte, dokumentierte Sicherheitslücke aus und beschränkte sich auf einen Angriffsvektor. Sämtliche Host-Einbrüche hätten sich durch Anwendung eines Patches verhindern lassen, den Microsoft sechs Monate vor dem Angriff bekannt gegeben hatte.