Zugpferde in den beiden Foren der IT-SecurityArea (it-sa) waren auch 2007 wieder die täglichen Live-Hackings der Penetrationsexperten von SySS, Visukom und IfIS (Institut für Internet-Sicherheit der FH Gelsenkirchen), bei denen vor allem solche Schwachstellen in IT-, Telekommunikations- oder Überwachungstechnik gezeigt wurden, die von den Angreifern nicht allzuviel oder auch gar kein IT-Know-how voraussetzen.

Kommt es zum

Vor allem die Live-Hacking-Vorführungen in den it-sa-Foren zogen die Besucher in ihren Bann. Bild: Axel Schelbert

Angriff, macht sich in vielen Fällen nicht nur der Täter strafbar, sondern verstößt auch derjenige gegen Gesetze, der personenbezogene Daten schutzlos dem Zugriff durch Dritte überlässt. Die einfachen Angriffe erfolgen in der Regel ohne vorgegebene Zielobjekte, doch oft sind darunter Unternehmen, deren Sicherheitslücken sich für Straftaten oder auch im Wettbewerb ausnutzen lassen.
Manchmal ist dazu nicht einmal zusätzliche IT-Technik nötig. So reicht schon ein handelsübliches Babyphone für 70 EUR aus, um sich die Live-Bilder aus Videoüberwachungen im näheren Umfeld ansehen zu können. Das funktioniert nicht bei allen Kameras, aber zumindest bei jenen Videoüberwachungsanlagen, bei denen Funkkameras (2,4 GHz) eingesetzt werden, die ohne Verschlüsselung der Kommunikation arbeiten. Der in der Billig-Kamera gewählte Übertragungskanal, meist stehen nur drei oder vier zur Auswahl, kann durch Probieren am Babyphone leicht entdeckt werden. Sebastian Schreiber, SySS GmbH: «Mit einer aufgebohrten Antenne haben wir beim Versuch in der Regensburger Innenstadt alle paar 100 Meter Kamerabilder auffangen können.» Wird von der Kamera Audio mitübertragen, kann auch dieses mit dem Babyphone unbemerkt abgehört werden, fatal beispielsweise bei Kundengesprächen in Apotheken. Mit ein wenig kriminellem Aufwand, einem Laptop, einer TV-Card und einer kostenlosen Software kann es darüber hinaus auch gelingen, die Videoüberwachung zu täuschen: Ein über das Babyphone empfangenes Bild wird als Standbild zurück gespielt - und die Anlage «übersieht» die Wegnahme von Gegenständen.
Dass allein mit ein wenig mehr als der Standardnutzung auch die Web-Suchmaschine Google zum Werkzeug wird, mit dem sich Datenschutzverstöße provozieren oder dokumentieren lassen, ist für Experten nichts Neues. Und dennoch findet sich mit entsprechenden Sucheingaben1 eine Vielzahl ungeschützter Videoüberwachungen. Ähnlich werden ungeschützte Netzwerkdrucker aufgespürt. Je nach Ausstattung kann auf die Kameras und die Drucker auch direkt zugegriffen werden. Kameras können geschwenkt und gezoomt werden, kein Problem zu prüfen, welche Kennzeichen die Autos auf dem Firmenparkplatz haben. Bei Druckern sind aus der Ferne veranlasste kompromittierende Ausdrucke oder das Auslesen der Druckerspeicher möglich. Passwörter können eingerichtet oder Einstellungen verändert werden.
Da es solchen Angreifern meist nicht darauf ankommt, eine bestimmtes Unternehmen anzugreifen, sondern nur «irgendwo» Schaden anzurichten, hilft ihnen Google auch bei der Passwortsuche oder der Suche nach anderen Schwachstellen. Manchmal zeigen sich dabei auch die Zugangsdaten eines Admin - Grenzen für Manipulation und Vandalismus gibt es dann nicht mehr. Die ganze Vielfalt der Google-basierten Angriffe kann über die Website http://johnny.ihackstuff.com/ghdb.php nachvollzogen werden.
Auch wenn immer wieder darauf hingewiesen wird: Es gibt im Web noch zahlreiche Web-Shops, die dem Betrug durch Nutzer Tür und Tor öffnen. Ein ganz simpler Angriff kann erfolgen, wenn Preise während des Bestellvorgangs in der URL im Klartext enthalten sind. Preissenkungen kann dann der Nutzer durch eine Änderung der URL im Browser selbst vornehmen. Auch solche Lücken werden über Google gefunden (allinurl: preis Warenkorb).
Manchmal birgt aber auch erst die Abwicklung Eingriffsmöglichkeiten für Betrüger, etwa dann, wenn ein unverschlüsseltes Word-Dokument als Formular zum Ausfüllen genutzt wird. Dann sind weitgefasste Manipulationsmöglichkeiten vorhanden, die in vielen Fällen erst zu spät entdeckt werden.
Auch die URL eines zu Marketingzwecken eingesetzten Message-Systems einer Großbrauerei war verräterisch: Nachrichten waren eindeutig über eine Identifikationsnummer (ID) gekennzeichnet. Ohne eine zusätzliche Authentifizierung war es dann möglich über die Variation der ID beliebige, nicht für die Öffentlichkeit gedachte Nachrichten anzuzeigen - wohl ein Verstoß des Betreibers gegen den Datenschutz.
Markus Linnemann von IfIS zeigte bei seinen Vorführungen unter anderem, dass die Nutzer nicht nur ihre Passwörter sondern auch ihre Usernamen nicht deutlich machen sollten. Manche Web-Services bieten den Nutzern allerdings keine Alternativen und listen die Usernamen, oft die E-Mail-Adressen, erreichbar auf. Mit einem geeigneten Harvester werden die Usernamen dann ausgelesen und mit einem Script auf die gängigsten Passwörter getestet. Risikoreich wird dies insbesondere dann, wenn ein schwaches Passwort gewählt wurde. Bekannte, kostenfrei downloadbare Hacker-Tools, die mit dahinter liegenden Wortlisten arbeiten («Ripper»), brauchen für die Ermittlung eines vierstelligen Passworts aus Buchstaben und Ziffern nur fünf Sekunden. Acht Zeichen aus dem gesamten Zeichenvorrat der Tastatur können dagegen noch als sicher angesehen werden, zumindest wenn auf den Hinweiszettel im Umfeld des Rechners verzichtet wird.
Nicht sehr viel aufwändiger als Attacken über das Web sind ungezielte Angriffe gegen Handys. Fündig werden die Täter oft in Verkehrsmitteln, an Flughäfen oder bei Veranstaltungen. Schwachpunkt ist oft die fehlende Absicherung der Bluetooth-Schnittstelle von Handy oder Freisprecheinrichtung. Ein Laptop mit Bluetooth-Schnittstelle und entsprechender Software zeigt die MAC-Adresse für nicht-versteckte Bluetooth-Geräte an. Ist die Sicherheitsstufe des Handy zu niedrig eingestellt oder nicht gegen bekannte Sicherheitslücken gepatcht, hat der Täter freie Hand. Beim Mobiltelefon kann er das Adressbuch auslesen und manipulieren, zum Beispiel so, dass jeder Anruf über einen kostenpflichtige 0900er Rufnummer erfolgt. Auch Einstellungen können verändert werden.
Auch lässt sich bei Mobiltelefonen auf diesem Weg ein Trojaner aufspielen - je nach Leistungsfähigkeit im Web für ca. 1.500 EUR bzw. 2.500 EUR zu erwerben - mit dem das Handy zur Abhöreinrichtung wird. Normalerweise bekommt der betroffene Nutzer nichts davon mit, wenn zur «Raumüberwachung» eine Verbindung zum Mikrofon des befallenen Handy aufgebaut wird, das Handy per SMS seinen Standort mitteilt, eingehende SMS kopiert und an den Hacker weiterschickt oder bei Verbindungen eine unsichtbare Konferenzschaltung aufbaut, die es dem Hacker erlaubt, alle Gespräche live mitzuhören. Einen gewissen Schutz bieten spezielle Virenscanner für das Handy.
Noch einfacher als das Handy kann ein Bluetooth-Headset als Wanze genutzt werden, wenn der Angreifer dessen MAC-Adresse, der Nutzer aber nicht die Schwachstellen kennt. Wurde das Handy ausgeschaltet, das zugehörige Headset aber nicht, akzeptiert das Headset auch den Laptop des Hackers als zugehöriges Handy. Die vierstellige, meist unveränderliche Standard-PIN des Headsets ist kein Hindernis. Die einfache Gegenmaßnahme: Mit dem Handy jeweils auch das Headset ausschalten.
Gezielte Maßnahmen gegen ein Unternehmen drohen beispielsweise von USB-Sticks. So ist es den Penetrationsexperten von SySS durch eine leichte Änderung der Firmware eines USB-Sticks gelungen, dass sich dieser beim Rechner als CD-ROM anmeldet. Ist die Autorun-Funktion für das CD-Laufwerk nicht abgeschaltet, was vor allem dort häufig der Fall sein dürfte, wo Rechner ohne CD-Laufwerk eingesetzt werden, kann der präparierte Stick bei Anschließen sofort Schadcode zum Löschen oder Kopieren von Daten auf den Rechner überspielen. SySS-Chef Schreiber beschrieb auch ein mögliches Tätervorgehen: Angesichts der geringer Sicherheitssenibilität sei es hochwahrscheinlich, dass im Unternehmen «liegen gelassene» USB-Sticks an Firmen-Rechnern eingesteckt werden.
Einfacher ist es für Innentäter: Ein leistungsfähiger Freeware-Sniffer (wireshark), der an jedem Netzknoten oder auch an Hub-Empfängern aufgesetzt werden kann, protokolliert E-Mail- oder VoIP-Übertragung mit und erlaubt ein Auslesen im Klartext beziehungsweise das Abhören via Audio-File. Eine hohe Sicherheit gegen solche Abhörtechniken bietet, wie Florian Stahl (Cryptzone) empfahl nur eine Gateway-Verschlüsselung ab dem Router oder eine Ende-zu-Ende Verschlüsselung.
Ein oft vernachlässigtes Einfallstor für Außentäter sei auch die Telefonanlage eines Unternehmens, die ja meist direkt mit der IT verknüpft ist. Marco Di Filippo (VisuKom Deutschland) skizzierte das mögliche Vorgehen von Angreifern so: Zunächst wird per War-Dialing vom Angreifer der Rufnummernblock durchgerufen, um die Nummern der Datendienste zu ermitteln. Gesucht wird dabei nach Fernwartungsdiensten. Ist die Nummer der Fernwartung für die TK-Anlage gefunden, wird zunächst das Default-Passwort (Listen im Internet) ausprobiert. Bei geändertem Passwort wird ein Brute-Force-Angriff versucht. Falls für den Zugang eine bestimmte Einwahl-Nummer erforderlich, wird der Täter zusätzlich «Call-ID-Spoofing» einsetzen. War er erfolgreich, hat er viele Möglichkeiten der Manipulation. Er kann das Routing verändern, zum Beispiel alle Anrufe über kostenpflichtige Service-Nummern leiten, oder Daten-, Fax- und Sprachübertragungen mitsniffen. ges