Um in den Besitz von Passwörtern zu kommen, zeigen potentielle Angreifer meist viel Phantasie, die nur noch von ihrer kriminellen Energie übertroffen wird. Die Vielfalt der Strategien reicht von perfiden Methoden wie dem sogenannten Social Hacking über das Cracken von Kennwörtern per Brute-Force-Attacke bis hin zur Nutzung von Trojanern und Backdoors. Wir stellen die verbreitetsten Methoden vor.
Eine uralte, sehr beliebte und entsprechend gefährliche Angriffsart ist das Social Engineering oder Social Hacking. Das soziale Umfeld des Opfers ist in erster Linie Angriffspunkt dieser Methode, die wenig mit technischem Know-how zu tun hat. Ein Angreifer ruft zum Beispiel einen unbeholfenen Benutzer an, gibt sich als Administrator aus und behauptet, dass er aufgrund von Wartungsarbeiten das Benutzer-Passwort wissen müsse. Der ungeschulte und leichtgläubige Anwender wird ohne Zögern die wertvollen Informationen preisgeben.
Ein guter Social Engineer versucht zuerst einige Hintergrundinformationen, die Basisstruktur sowie einige Namen von Mitarbeitern des Betriebes in Erfahrung zu bringen. Eine der einfachsten Methoden dafür ist beispielsweise ein öffentlich ausgehängter Dienstplan, die Webseite oder die Türbeschriftung. Recherchen haben ergeben, dass in Firmenmülleimern interne Telefonbücher, alte Dienstpläne, Kalender, Notizbücher, Ausdrucke von heiklen Dokumenten, Urlaubspläne, System-Handbücher, Ausdrucke von Benutzernamen und Passwörtern, Ausdrucke von Sourcecodes, Disketten, Backup-Kassetten und alte Hardware gefunden wurden. Informationen dieser Art lassen jedes Hackerherz höher schlagen, erleichtern sie ihm doch den Weg ins System erheblich.
Um der Gefahr des Social Engineering entgegenzutreten, sind eine strenge Unternehmens-Policy und die regelmässige Schulung und Sensibilisierung des Personals zwingende Voraussetzungen.
Neben dem Social Hacking ist das Erraten der Login/Passwortkombination die trivialste und in einigen Fällen auch die schnellste Methode. Dabei wird meist von bekannten oder häufigen Logins wie Administrator, Guest, Field oder Service ausgegangen und versucht, das dazu passende Passwort zu erraten. Mehrere Studien haben gezeigt, dass viele Anwender dazu neigen, ausserordentlich leicht zu erratende Passwörter auszuwählen, da sie sich diese viel einfacher merken können.
Typische Login/Passwortkombinationen, die immer wieder auf Systemen gefunden werden, sind field/service, guest/guest oder admin/admin. Solche Accounts werden in Benutzerhandbüchern oft als Beispiele verwendet oder sind nach der Installation als Standardkonfiguration vorhanden. Werden diese Sicherheitslöcher nicht erkannt, haben selbst unerfahrene "Hacker" leichtes Spiel. Auch werden allzu gerne Passwörter benutzt, die für die betreffende Person eine besondere Bedeutung haben. Aus purer Bequemlichkeit werden häufig etwa der eigene Name, der Name des Ehepartners oder des Haustiers, das Geburts- oder Hochzeitsdatum, die Lieblingsfarbe oder der Lieblingssong, die Telefonnummer oder ähnliches als Kennwort eingesetzt - unter dem Sicherheitsaspekt ein absolutes Desaster.
Sehr beliebt sind auch die als Kennwortknacker bezeichneten Programme, deren Aufgabe es ist, geschützte Passwörter aufzudecken - normalerweise mit Hilfe einer automatischen Suchmethode. Es gibt zwar ein paar Anwendungen, die Kennwörter richtig verschlüsseln, aber heute arbeiten alle wesentlichen Betriebssysteme mit einem Kennwort-Hash. Um die Herausforderung zu umgehen, die eine Hash-Codierung darstellt, verwenden Passwortknacker schlicht und einfach den gleichen Algorithmus, der zur Verschlüsselung des ursprünglichen Passworts diente. Wortbibliotheken mit einigen zehntausend Einträgen werden damit systematisch verschlüsselt und das Ergebnis mit den codierten Einträgen in der Passwortdatei verglichen. Die meisten Passwortcracker sind nichts anders als Ratemaschinen - Programme, die mit sehr hoher Geschwindigkeit ein Wort nach dem anderen ausprobieren.
Eine weitere äusserst gefährliche Einbruchsvariante besteht in der Installation von sogenannten Keyloggern, kleinen Programmen, die im Hintergrund jede Tastatureingabe überwachen. Zusätzlich zur Tastatureingabe wird auch protokolliert, für welches Programm diese Eingabe getätigt wurde. Die so gespeicherten Daten werden schliesslich als Logdatei übers Internet an eine frei wählbare E-Mail-Adresse versandt. Teilweise handelt es sich dabei um ganz legale Software, die von Sicherheitsfirmen angeboten wird, darunter Programme wie Orvell Monitoring oder Spector. Viele Firmen in den USA setzen diese Art von Programm ein, um die Tätigkeiten ihrer Mitarbeiter am PC zu protokollieren. Auch wurden viele Ehepartner mittels solcher Applikationen bereits ausgespäht. Nicht selten hatten die erworbenen Erkenntnisse Kündigungen und Scheidungen zur Folge.
Eine weitverbreitete Methode, in den Besitz von Passwörtern zu kommen, ist schliesslich der Einsatz sogenannter Trojaner oder Trojanischer Pferde. Diese Programme basieren darauf, als etwas anderes zu erscheinen, als sie tatsächlich sind. Im einfachsten Fall wird ein solches Programm vom ahnungslosen User gestartet und führt keine Funktion aus (es kann auch sein, dass sie mit anderen Programmen verbunden sind). Einfach programmierte Trojaner haben meistens nur eine Funktion. Sobald der User das Programm startet, wird eine Bildschirmmeldung ausgeworfen wie beispielsweise "Error: Incorrect password". Wenn der Benutzer dann dieser Meldung Folge leistet und sein Passwort wiederholt eingibt, wird dieses gespeichert und per Mail an den Angreifer zurückgeschickt. Es gibt aber auch Trojaner, mit deren Hilfe es gelingt, die vollständige Kontrolle über einen infizierten PC zu erhalten und diverse Funktionen auszuführen. Aus diesem Grund werden Trojaner von Hackern auch gerne als sogenannte Remote Access Controls, also eine Art Fernsteuerungs-Software, bezeichnet.
Namen
- der eigene Name, inklusive Spitzname
- der Name von Freundin, Verwandten, Kindern, Haustieren usw.
- Ortsnamen, Plätze, Länder
- Romanhelden, Promis
- Computersysteme, Autos etc.
- Benutzernamen in jeglicher Form z.B. -Mike_user. -Mikeuser, Mike_user! usw.
Worte
- Wörter aus einem Wörterbuch, egal aus welcher Sprache
- Flüche, Schimpfwörter, technische Begriffe usw.
- Sprichwörter, Phrasen wie: Make my day, Willkommen an Bord, Don't worry be happy usw.
- Passwörter, die aus einem Buchstaben bestehen wie beispielsweise yyyyyyy
Zahlen
- Telefonnummern
- Geburtstage, Hochzeitstage
- Autokennzeichen
- Führerscheinnummern
- bekannte Zahlenfolgen wie 0815 usw.
- Ziffernfolgen wie 12345, 11111 usw.
Diverses
- Tastaturfolgen wie qwertz, asdf, ölkj etc.
- Begriffe und Vorlieben, für die man bekannt ist: Lieblingsfilm, Musikrichtung usw.
- Objekte, die vom Arbeitsplatz aus ins Auge fallen
- Passwörter, die man in der Vergangenheit bereits benutzt hat
Bei einem Hacker-Einbruch sollten folgende Massnahmen ergriffen
werden:
- Kühlen Kopf bewahren
- CIRT-Team einberufen
- Entscheiden, ob System/Applikation gestoppt wird
- Sichern der Beweise (z.B. Image der Festplatte erstellen, Logdateien sichern usw.)
- Patchen des Systems und Betrieb wieder herstellen
- Analyse des Einbruchs (Was ist passiert? Was wurde entwendet/verändert/gelöscht? Wie gross ist der Schaden? Wie wird der Einbruch kommuniziert?)
- Lessons Learned: Was kann verbessert werden?
Aus welchen Mitarbeitern sollte sich ein Computer Emergency Response Team (CIRT) zusammensetzen?
- Koordinator
- Entscheidungsträger mit genügend Kompetenz
- Security Officer
- Rechtsabteilung
- Kommunikation/Kundenbetreuung
- Applikations-/System-/Infrastrukturbetreuer
- Forensic-Spezialisten
