Interview mit einem kriminellen Hacker
"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"
Nichts einfacher als das
HANSEN: Wie einfach ist es für Sie, eine Website zu kompromittieren?
ADAM: Anfänger suchen einfach nach "inurl:money.php?id=" - dann werden sie schon fündig. Da das aber besonders auf großen Sites nicht immer funktioniert, ist schon etwas mehr Recherche nötig. Ich schaue gerne Finanznachrichten im Fernsehen. Die dort vorgestellten Startups sind schnell erfolgreich, haben aber selten Admins, die wirklich Ahnung von Sicherheit haben. Also sind sie verwundbar. Häufig patchen Sie ihre SQL-Datenbank, haben aber ihr DNS nicht im Griff, was den Schutz vor Cache Poisoning angeht. Ein geräuschloser Einbruch in deren Datenbank ist in weniger als einer Stunde vollzogen.
HANSEN: Wie einfach ist es, ein fremdes Nutzerkonto zu übernehmen - nur mithilfe von Whois-Informationen und anderen frei zugänglichen Datenquellen?
ADAM: Whois war einst unerlässlich zum Informationensammeln. Mittlerweile holen sich alle die Daten über Facebook, Twitter etc. Damit lassen sich beispielsweise Amazon-Konten schnell übernehmen und mit fremden Kreditkarten shoppen gehen. Das erfordert lediglich ein Telefonat mit dem Kundenservice für das Zurücksetzen des Passworts. Auch wenn Amazon nach eigenen Angaben diese Art Identitätsdiebstahl schon vor zwei Jahren unmöglich gemacht hat, sind deren Mitarbeiter doch immer noch sehr vertrauensselig und wollen nicht viele Daten zur Verifizierung haben. Also Amazon, trainiert eure Angestellten!
- Facebook: Anmeldungen kontrollieren
Erst ist es oft nur ein vager Verdacht, dass Unberechtigte den eigenen Facebook-Account gekapert haben, etwa um dort private Nachrichten zu lesen. Um zu klären, ob die anfängliche Vermutung berechtigt ist, können Sie sich Fremdzugriffe anzeigen lassen. - Firefox: Unterbinden von Rechtsklicks verhindern
Nicht nur Betreiber dubioser Sites wollen vermeiden, dass User auf ihren Webseiten das Kontextmenü aufrufen können, etwa um sich rasch den Quelltext anzeigen zu lassen. Deswegen unterbinden sie die Möglichkeit, Rechtsklicks auszuführen. Das Kapern der Maustaste kann man jedoch umgehen. - Apple Boot Camp: Zugriff auf Mac-Partition unter Windows verhindern
Bei verschiedenen Benutzern unter Mac OS X sind die persönlichen Daten im Dokumente-Ordner vor der Einsicht anderer Nutzer geschützt. Vorsicht ist geboten, wenn mittels Apple Boot Camp noch Windows auf dem System ist. Hier lässt sich in den Verzeichnissen stöbern. - Gimp: Exif-Metadaten aus Fotos entfernen
In JPG-oder TIFF-Dateien enthaltene Exif-Informationen sollte man nicht jedermann zugänglich machen, sondern vor der Weitergabe der Fotos entfernen. Dazu sind in Gimp noch nicht einmal extra zu installierende Plug-ins notwendig. - Windows: Risiken durch versteckten Account beheben
Auf einigen Computern findet sich der Nutzer "UpdatusUser", der nicht zu den standardmäßig vom System angelegten Usern gehört. Er verrät seine Existenz nur durch einen gleichnamigen Ordner auf der Festplatte und fehlt zudem unter den Benutzern in der Systemsteuerung. Woher stammt das Konto? - Java: Updater bemängelt fehlende Sperrinformationen
Scheinbar ohne äußeren Anlass wird auf vielen PCs ein Sicherheitshinweis angezeigt. Demnach seien "keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar". Details fehlen - was die User zu Recht verunsichert. Wir zeigen, wie Sie das Problem in den Griff bekommen. - Avira Antivirus: Gesperrte Websites freischalten
Der Avira Browser-Schutz wehrt automatisch gefährliche Online-Inhalte ab, die verschiedenen Kategorien wie Phishing oder Malware zugeordnet sind. Wer sicher ist, dass eine geblockte Website ungefährlich ist, kann sie trotzdem öffnen. Dazu ist allerdings eine manuelle Anpassung erforderlich. - Firefox: Warnung vor nicht vertrauenswürdiger Verbindung
Wenn man eine Webseite aufruft, deren URL mit https beginnt, kommunizieren Server und Browser verschlüsselt. Mit einem Zertifikat stellt Firefox zuvor fest, ob die Seite wirklich die ist, die sie vorgibt zu sein. Ein Warnhinweis bei dieser Überprüfung muss aber nicht immer auf einen Angriff deuten. - Windows: Dateien mit MD5-Hashwerten überprüfen
Über MD5-Hashwerte lässt sich die Integrität einer Datei überprüfen, so kann man sich etwa vor manipulierten Programmen schützen. Mit dem passenden Tool lassen sich die Werte schnell erstellen oder überprüfen. - Windows-Wiederherstellungspunkt mit einem Klick
Windows kann den Zustand des Systems auf Wunsch sichern. Geht etwas schief, kehrt man einfach wieder zu diesem Punkt zurück. Mit einem kleinen Zusatztool wird das Erstellen dieser Sicherungen deutlich einfacher. - Virenscanner mit EICAR-Testdatei prüfen
Um festzustellen, ob der installierte Virenscanner auch aktiv und funktionsfähig ist, verbieten sich Tests mit tatsächlicher Malware von selbst. Gerade im Firmenumfeld möchten die Sicherheitsverantwortlichen der IT-Abteilung aber sichergehen, dass die eingesetzte Antivirensoftware ordnungsgemäß arbeitet. - Windows - unsichere Dateien und Anwendungen öffnen
Oft kommt es vor, dass Windows den Zugriff auf bestimmte Dateien oder Anwendungen verweigert. Es erscheint die Meldung: "Durch die Internetsicherheitseinstellungen wurde verhindert, dass eine oder mehrere Dateien geöffnet wurden." Mit unserem Tipp beheben Sie das Problem schnell. - Windows 7: Schreibzugriff auf USB-Speichermedien blockieren
USB-Speicher sind bei Anwender gern gesehenes Datenaustauschmedium. Admins schätzen diese aus Sicherheitsgründen hingegen weniger. Mit einem Eingriff in die Windows Registry kann man einen Lesezugriff erlauben, das Schreiben auf die Geräte aber unterbinden.
HANSEN: Welche Art Website übernehmen Sie am liebsten? Welche lassen sich am einfachsten zu Geld machen? Oder greifen Sie ausschließlich nach dem Zufallsprinzip an?
ADAM: Meistens greife ich ins Blaue hinein an. Doch einmal habe ich eine Ausnahme gemacht, weil mir ein Unternehmen keinen Rabatt geben wollte. Daraufhin haben wir alle Kreditkartennummern der Kunden online gestellt. Eine Branche, die ich sehr gerne attackiere, ist die Security-Branche, also beispielsweise Hersteller von Antiviren-Software. Aber auch Klamottenläden während des Sommerschlussverkaufs oder Porno-Seiten machen Spaß. Gerade Klamottenshops sind sehr einfach zu hacken, weil sie erstens nie eine Zwei-Schritt-Authentifizierung fordern und zweitens technisch ziemlich unterbelichtet sind. Die Unternehmen engagieren jemanden, der die Website aufsetzt, kümmern sich aber anschließend selbst um deren Betrieb. Sie verwenden kein HTTPS und sind sehr anfällig für SQL-Injection-Attacken. Als Hacker gibt es nun zwei Möglichkeiten: Kreditkartendaten abziehen und verschwinden oder Website übernehmen und einen iFrame einbinden, der den Drive-by-Download eines Banking-Trojaners initiiert.
Was ich an Porno-Seiten so toll finde, ist, dass deren Betreiber nie prüfen, wo die geschalteten Werbeanzeigen hinführen. Als Angreifer lädst du da einfach nur eine "Anzeige" hinein, die eine gut ausgestattete Frau beim Facebook-Surfen zeigt. Sobald jemand draufklickt, sind wir wieder beim Drive-by-Download. Der besondere Kick: Wer mehr persönliche Daten seines Opfers braucht, verweist mit so einer Anzeige auf eine Seite, wo sich die entsprechenden Facebook-Informationen abfragen lassen. Damit lässt sich anschließend wunderbar weiteres Social Engineering betreiben.