Wichtige Warnung: Unbefugter Zugriff auf Rechner und Netzwerke ist illegal!
Die Beschreibungen basieren lediglich auf einer Fülle von Krimi-Büchern und Filmen, die in meiner Kindheit konsumiert wurden. ;-)
Cyber Angriffe; wie finden sie statt: allgemeine Überblick
Wir können die Gedanken mit ein wenig Phantasie beflügeln.
Dieser Artikel behandelt die allgemeinen Angriffe auf Computernetzwerke. Jedoch werden Angriffe, die sich auf oder über Funk beziehen, als ein Unterpunkt separat erläutert.
Es ist unmöglich, sämtliche potenziellen Angriffe und ihre Arten in diesem Artikel zu beschreiben. Stattdessen wird hier eine Grundlage bereitgestellt, die durch eigenständige Recherche oder kreative Vorstellungskraft weiter ausgebaut werden kann, ähnlich wie es der Verfasser dieses Artikels getan hat.
Das Vorgehen der Angreifer hängt natürlich in erster Linie von der Art der Angreifer ab. Es gibt solche, die über wenig technisches Fachwissen verfügen, bis hin zu denen, die sehr informiert und fortgeschritten in ihrer Entwicklung sind und zudem über umfangreiche Ressourcen und Personal verfügen.
Gegen die erste Gruppe, wie beispielsweise Skript-Kiddies, gestalten sich die Maßnahmen zur Verhinderung von Angriffen vergleichsweise einfach. Diejenigen Angriffe, die nicht unmittelbar abgewehrt werden können, lassen sich in den meisten Fällen schnell entdecken und daraufhin verhindern. Es gibt jedoch Situationen, in denen es zu spät ist, und die einzige Option besteht darin, den entstandenen Schaden zu minimieren.
Die letzte Gruppe stellt verständlicherweise die problematischste dar, und es wurde bereits mehrmals nachgewiesen, dass sie nicht gänzlich zu verhindern ist. Das liegt in der Natur der Sache.
Während eine einfache Attacke das Einschalten eines Geräts oder das Ausführen eines Skripts bedeuten kann, erfordern andere Angriffe Monate oder sogar Jahre, um nachrichtendienstliche Aktivitäten und Aufklärung (Reconnaissance) durchzuführen. Oftmals sind solche Angriffe mit physischer Spionage vor Ort verbunden. Dies lässt sich auch mit etwas Vorstellungskraft und Inspiration aus Filmen auf der großen Leinwand nachvollziehen.
Die Gruppierung der Angreifer spiegelt auch die Schwere und den Umfang der möglichen Schäden wider.
Gewiss können nicht alle Schäden sofort und eindeutig quantifiziert werden. Es steht außer Frage, dass nicht alle Schäden gemeldet werden, sei es aufgrund unterschiedlicher Interessen oder aus dem Wunsch heraus, Informationen nicht öffentlich zu machen. Die Beeinträchtigung der Informationssicherheit oder Datenschutz bedeutet gleichzeitig eine Gefährdung der Sicherheit von Menschen auf verschiedenen Ebenen.
Dies weckt einerseits ein großes Interesse an weiterführenden Informationen, andererseits führt es zu unangenehmen Überlegungen bei verunsicherten und besorgten Personen. Dadurch besteht die Gefahr, dass das Thema leicht verdrängt wird.
Dichotomie eines Angriffs
Wie bei jedem Plan steigen die Chancen auf Erfolg erheblich durch eine gründliche Vorbereitung. In diesem Zusammenhang ist es nicht nur entscheidend, das Ziel des Angriffs zu erreichen, sondern auch unentdeckt zu bleiben und nicht nachverfolgt werden zu können. Die Fähigkeit, im Verborgenen zu agieren und so wenig wie möglich Spuren zu hinterlassen, wird als Stealth bezeichnet. Da wir uns hier mit Angriffen auf Funknetze befassen, hinterlassen die meisten Attacken keine erkennbaren Spuren. Zusätzlich hat das angegriffene Ziel oft nur begrenzte Möglichkeiten zu erfahren, dass es zum Ziel geworden ist. Je mehr potenzielle Opfer über die Methoden des Angreifers wissen, desto besser können sie sich dagegen schützen. Zumindest haben sie die Möglichkeit, präventive Abwehrmaßnahmen zu ergreifen, noch bevor ein Angriff stattfindet.
Teil I: Die Vorbereitung
Ohne Kenntnis darüber, wer das potenzielle Opfer ist und wie sein System strukturiert ist, ist die Durchführung eines Angriffs praktisch unmöglich, da kein konkretes Ziel vorhanden ist. Es ist offensichtlich, dass so viele Informationen wie möglich erforderlich sind. Aber welche Informationen sind dabei relevant?
Zuallererst sind persönliche Informationen von Bedeutung - alles, was erlangt werden kann, von vollständigem Namen und Adresse bis zu Besitztümern und Grundstücken. Daten jeglicher Art sind von Interesse, selbst wenn sie auf den ersten Blick keinen offensichtlichen Sinn ergeben oder nicht unmittelbar nützlich erscheinen könnten.
Einige Script-Kiddies benötigen möglicherweise lediglich die Kenntnis der IP-Adresse, die zufällig eingegeben oder automatisch in einem gescannten Bereich hochgezählt wurde. Sie benötigen im Vergleich zu fortgeschritteneren Angreifern wesentlich weniger Informationen.
Einige Angreifer könnten und sollten aus ihrer Perspektive alle möglichen Informationen haben. Wenn das Ziel eine Firma, eine Behörde, eine kritische Infrastruktur oder eine Betriebsanlage ist, kann jede Kleinigkeit über den Erfolg oder Misserfolg entscheiden. Objekte werden überwacht, es werden Informationen über eingehende und ausgehende Personen gesammelt, einschließlich ihrer KFZ-Kennzeichen, Adressen und Haarfarben. Die Art der physischen Überwachung wird berücksichtigt, ebenso wie die Dicke der Wände, die Aufmerksamkeit der Mitarbeiter am Empfang und die Überwachungskameras außerhalb des Gebäudes, die auf die Straße gerichtet sind.
Es ist erneut wichtig zu betonen, dass wir auf dieses Thema aufmerksam machen wollen, um sowohl Einzelpersonen als auch Unternehmen zu ermöglichen, sich besser zu schützen.
Wir müssen hier Annahmen treffen; Es gibt Angriffe, bei denen es dem Angreifer gleichgültig ist, ob er entdeckt wird oder nicht. Übrigens, wenn hier 'er' geschrieben steht, ist auch 'sie' gemeint. Die männliche Sprache weist auf einen Mann hin, aber es wird auf den "Angreifer" verwiesen. Ein Angreifer kann ein Mann oder eine Frau sein, aber auch ein Hund, ein Vogel oder sogar ein Baby im Kinderwagen. Natürlich nicht direkt, sondern diejenigen, die sie nutzen, um beispielsweise Geräte für den Angriff zu tragen. Wie man sieht, spielt die Fantasie eine Rolle, aber ohne sie wäre es nicht möglich, sich vor jeglichen Angriffen zu schützen. Selbst wenn man alles weiß oder glaubt zu wissen, kann man nicht davon ausgehen, dass man so ausgefeilt ist, dass man Angriffe erfolgreich abwehren kann. Es ist die erste Regel der Verteidigung, den Gegner, insbesondere denjenigen, den man nicht sieht oder kennt, nicht zu unterschätzen. Ja, es gehört dazu, ein gewisses Maß an Paranoia zu entwickeln, um nicht Opfer von Angriffen zu werden.
Ab jetzt nehmen wir an, dass ständig und überall versucht wird, auf Systeme zuzugreifen. Es handelt sich nicht mehr um einfache Zivilisten in der Gesellschaft, sondern um alle, die böse Absichten hegen oder einige Kriminelle, die leicht an die Ressourcen anderer gelangen wollen. Später werden wir nach Statistiken suchen, aber vorerst können wir davon ausgehen, dass solche Versuche stattfinden. Sobald man Server im Internet verfügbar macht, wird schnell deutlich, dass versucht wird, darauf zuzugreifen. Es gibt gut getarnte Rechner, die Skripte ausführen und versuchen, Server im Internet zu finden, die kaum oder keinen Schutz haben. Diese versuchen entweder, künstliche Netzwerke für die Belastung von Prozessen zu nutzen, um deren CPU-Leistung oder Speicherkapazität zu beanspruchen, oder von dort aus Angriffe auf andere Rechner zu starten. Diese Scanner durchsuchen bestimmte IP-Adressbereiche und suchen nach online verfügbaren Servern.
Auch im Funkbereich ist es ähnlich. Es werden Access Points (AP) gesucht, oder es werden kartenähnliche Auflistungen erstellt, die direkt auf Router verweisen können und dann auf einzelne Rechner, die von diesen Routern bedient werden.
Mobiltelefone senden verschiedene Signale aus, sei es GSM, Bluetooth, WiFi oder andere wie Infrarot, abhängig vom Gerät. Es gibt auch andere Geräte wie Drucker, Lautsprecher, Haushaltsgeräte und verschiedene industrielle Geräte, die Funksignale aussenden. Selbst Funksignale von Funkamateuren im CB-Funk könnten vorhanden sein. Wenn ein Gerät eingeschaltet ist und Signale sendet, könnte dies darauf hindeuten, dass es sich in der Nähe befindet. Potenziell zumindest, da es nicht sicher ist. Wir werden darauf näher eingehen, wenn wir unsere Denkweise weiter schärfen und sensibilisieren.
Bei der Vorbereitung werden Informationen über Personen, Gebäude, Geräte, Standards, Schwachstellen und alles, was dienlich sein kann, gesammelt. Natürlich erfolgt dies in Abhängigkeit von den Zielen und dem Zweck des Angriffs.
Wenn ein bedeutendes Unternehmen oder sogar eine Einzelperson angegriffen wird, bedeutet das nicht zwangsläufig, dass diese Information sofort an die Öffentlichkeit gelangt. Dies geschieht, um den Ruf nicht zu schädigen, aber auch, um nicht genau zu zeigen, durch welches Schlupfloch der Eindringling eingetreten ist. Es soll heißen, dass dieses Sicherheitsloch zunächst geschlossen werden muss, bevor man darüber kommunizieren kann. Es ist wichtig, sich daran zu erinnern, dass die Angreifer immer präsent sind und ständig versuchen werden, Zugang zum System zu erhalten. Manchmal geschieht dies aus Langeweile, aber oft auch aus anderen Motiven.
Wenn sich ein Angreifer vorbereitet, sei es ein bösartiger Angreifer, wird er so viele Informationen über sein Ziel und dessen Schwachstellen sammeln wie möglich. Er wird seinen Angriffsplan sorgfältig vorbereiten und möglicherweise schon vor dem eigentlichen Angriff eine Simulation erstellen, um schrittweise voranzukommen. Je wichtiger das Ziel ist, beispielsweise bei kritischen Infrastrukturen, wird er sich über die Schutzsysteme informieren, die möglicherweise installiert sind. Dies beinhaltet auch das Wissen über Intrusion Detection und Prevention Systems (IPS und IDS) sowie über Regulierungen und Vorschriften. All diese Informationen können durch Recherche von Personen oder Dokumenten erlangt werden. Deshalb versuchen hochprofessionelle Hacker manchmal als erstes, Zugang zu solchen Unterlagen zu erhalten, anstatt direkt frontale Angriffe auf die Systeme zu starten.
Der Angreifer wird versuchen, alle Verteidigungslinien zu durchdringen. Es gibt nicht alles, was man nur mit Geräten herausfinden kann. Man geht oft davon aus, dass die meisten Angriffe von innerhalb des Unternehmens kommen. Daher wird der Angreifer versuchen, Informationen sogar durch das Abhören von Mitarbeitern zu erhalten. Die Schulung der Mitarbeiter ist entscheidend. Selbst wenn man in einem Fahrstuhl zur Mittagspause fährt und im Restaurant gegenüber sitzt, sollte man nicht davon ausgehen, dass "der Typ", der wie ein Bettler gegenüber sitzt, keine Ahnung von der neu installierten Firewall hat. Ebenso sollte man nicht davon ausgehen, dass unter dem Tisch kein Miniatur-Abhörgerät vorübergehend angebracht ist. Wenn die Leute weg sind, kann der Angreifer zurückkommen und es entfernen. Wir beginnen, unsere Fantasie zu beflügeln. Obwohl wir alles aus Filmen kennen, denken wir oft nicht daran, dass es auch in der Realität geschehen kann. Abgesehen von moralischen Fragen ist es je nach Land illegal und kann streng bestraft werden. Wir sprechen hier jedoch nicht von Menschen, die sich an das Gesetz halten, denn es handelt sich um jene, die nichts Gutes im Schilde führen.
Der Angreifer in der Vorbereitung wird sich mit allen Möglichkeiten auseinandersetzen. Er wird seine Umgebung und die Geräte darin gründlich erkunden und deren Verhalten gut studieren.
Leider gibt es keine absoluten Möglichkeiten, sich gegen Vorbereitungen zu schützen, was auch strafbar sein kann, wenn die Absicht besteht, etwas Derartiges vorzunehmen. Es geht eher darum, sich dagegen zu verteidigen. Schließlich können auch Fehler passieren, sei es durch die Fehlkonfiguration eines Servers, das unbeabsichtigte Offenlassen eines ungeschützten Laptops oder das Entdecken einer Lücke im Kommunikationsprotokoll, die gerade jetzt aufgedeckt wurde. All das versucht ein potenzieller Angreifer zu ermitteln, wobei die genaue Vorgehensweise vom Ziel und der Art des Angriffs abhängt. Wir werden darauf eingehen, wenn wir die verschiedenen Arten von Angriffen besprechen. Es ist nicht möglich, alle Angriffe endgültig zu beschreiben, da sie endlos sind, aber wir können einige Beispiele geben, die die Fantasie anregen und zum Nachdenken anregen. Dadurch wird es einfacher, sich andere Möglichkeiten vorzustellen.
Teil II: Die Durchführung
Wir gehen erstmal die Auflistung in unserem dritten Teil des Artikeln Serie, "Teil III: Weitere Vorgehen und Auflistungen" durch. Die Anrgriffe sind in Überschriften erwähnt aber die lassen schon erahnen über die Möglichkeiten.
Zunächst kann man diejenigen unterscheiden, die aus großer Entfernung ohne physischen Zugang durchgeführt werden können, und diejenigen, für die man sehr nah sein muss. Die erforderliche Entfernung hängt von der Art des Angriffs und den verwendeten Geräten ab.
Es wird auch unterschieden, ob der Angriff intern im Gebäude oder extern von außen erfolgt, beispielsweise als Fremder gegenüber dem Unternehmen oder als interner Mitarbeiter mit Zugang. Nochmals, die meisten Angriffe kommen von innen.
Wir unterscheiden auch zwischen den "echten" Angriffen mit IT-Kenntnissen und den Angriffen durch Social Hacking, bei denen es darum geht, Personen zu täuschen und Informationen oder Ergebnisse zu erhalten.
Eine starke Segmentierung und Parzellierung innerhalb des geschützten Objekts ist sinnvoll. Zugangskarten können verloren oder gestohlen werden, sie können verfälscht werden, und schließlich kann ein Mitarbeiter unter Zwang mit Waffen zum Eintritt gezwungen werden. Die Sicherheitsregeln, die man einstellen sollte, sollten von Worst-Case-Szenarien ausgehen. Trotzdem sollte in manchen Fällen, gerade wenn Gewalt angedroht wird, Flexibilität vorhanden sein, damit der Angreifer nicht sofort keinen Ausweg sieht und möglicherweise auf eine fatale und unerwünschte Weise handelt.
Wir sehen in manchen Filmen, wie Schleusen programmiert sind, sich bei Alarm zu öffnen, während andere sich schließen, damit ein physischer Angreifer im Labyrinth dorthin gelenkt wird, wo man auf ihn wartet. Ob das in der Realität so funktioniert, sollte man die Regisseure danach fragen. Wir werden nicht weiter über solche physischen Angriffe sprechen, sondern uns ausschließlich auf Angriffe durch Software und Geräte konzentrieren.
