Überwachung von Darknet-Aktivitäten
Wie Hacker-News Cyberangriffe vorbeugen
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Wie Grundert sagt, werden selbst die kleinsten, unbedeutendsten Blogs von den Hackern durchleuchtet. So geschah es auch bei dem Beitrag von GoSecure, der nahezu keine Aufmerksamkeit erregte. Wenn ein solcher Beitrag über eine bestehende Schwachstelle in der Community der "Verteidiger" nicht wahrgenommen wird, wird damit der potentielle Angriffsvektor schlicht übersehen. Das ist wiederum ein gefundenes Fressen für Hacker, die neue Schwachstellen sofort diskutieren, analysieren, sich darüber austauschen und Tools erstellen und verbreiten, um diese auszunutzen.
- Platz 1: x
Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen. - Platz 2: Zz
Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend. - Platz 3: Start123
Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld. - Platz 4: 1
Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4. - Platz 5: P@ssw0rd
Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation... - Platz 6: bl4ck4ndwhite
"It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung. - Platz 7: admin
Der Klassiker darf natürlich nicht fehlen. - Platz 8: alex
Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex... - Platz 9: .......
Über sieben Punkte musst du gehen... - Platz 10: administrator
... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.
Fehler im System: Der CVE-Verzug
Einer der Gründe, warum die Hacker den Herstellern und Security-Profis oft einen Schritt voraus sind, ist der eigentliche Prozess, wie Security-Schwachstellen in den USA bekannt gemacht werden. Die Alerts der IT-Systemhäuser orientieren sich üblicherweise daran, ob eine Sicherheitslücke einen sogenannten 'Common Vulnerability and Exposure' (CVE) -Identifier erhalten hat. Das CVE-System wird dabei von der Non-Profit-Organisation MITRE verwaltet.
Wenn irgendjemand eine Sicherheitslücke findet - egal ob Sicherheitsforscher, Hersteller der Applikation oder Dritte - geht bei MITRE eine Anfrage für einen neuen CVE ein. Wenn MITRE einmal den Identifier vergeben hat, können Sicherheits-Experten, Anbieter und Unternehmen sich mit Hilfe dieser "Sozialversicherungsnummer für Security-Schwachstellen" zum Thema austauschen, mit dem Ziel das Leck zu stopfen. In Fällen wie bei der Java-Lücke, in denen die Schwachstelle nicht von den Herstellern selbst aufgedeckt wird, haben die Hacker also einen wesentlichen Vorteil gegenüber den Angegriffenen, die erst einmal auf die Zuteilung eines CVE warten müssen.
Diese Zeitdifferenz ist mehr als kritisch. Auf der anderen Seite gibt es enorm viele Schwachstellen zu ergründen und zu identifizieren, aber in den meisten Fällen endliche Ressourcen, um dies zu tun. Für Unternehmen und Organisationen erscheint es daher durchaus sinnvoll, Reports über Sicherheitslücken dahingehend zu analysieren, ob eine CVE vergeben worden ist. Die Implikation: Wenn eine Schwachstelle eine CVE besitzt, existiert diese tatsächlich und muss geschlossen werden.
Dennoch ist das CVE-System über die letzten Jahre zu einem Flaschenhals geworden: Zahlreiche Security-Experten haben sich bereits darüber beschwert, dass CVEs nicht zeitnah zugeteilt werden. Diese Verzögerung hat Auswirkungen, denn Software-Hersteller, Partner und Forscher können sich nur schwer über die Beseitigung einer Sicherheitslücke koordinieren, wenn kein System besteht, das sicherstellt, dass sich alle Beteiligten auf dasselbe Problem beziehen.
Ein Teil des Problems liegt dabei auch in der Skalierung: Der Software-Markt ist wesentlich größer, als er es noch vor zehn Jahren war und Security-Schwachstellen treten in gesteigerter Häufigkeit auf. Wie die Untersuchungen von Recorded Future zeigen, gibt die Zeitverzögerung bei der Zuteilung einer CVE den Hackern die Zeit, um ihre Tools und Angriffstechniken zu entwickeln, zu verfeinern und auf den jeweiligen Vektor auszurichten. Jake Kouns, CISO bei Risk Based Security, bringt es auf den Punkt: "Es gibt viele Leute die glauben, dass eine Schwachstelle ohne CVE kein wirkliches Problem ist. Und das ist ein riesiges Problem."
Dazu kommt allerdings noch, dass nicht alle Arten von Security-Löchern überhaupt CVEs zugeteilt bekommen. Web Applications beispielsweise, die über den Server gepatcht werden können, was keine Interaktion mit den Kunden notwendig macht. Unglücklicherweise bekommen auch die Schwachstellen auf mobilen Endgeräten keinen Identifier zugewiesen - obwohl hier der Endnutzer das nötige Update installieren muss. Aktuelle Zahlen von Risk Based Security belegen das Problem: im Jahr 2015 wurden insgesamt 14.185 Sicherheitslücken gemeldet - satte 6000 mehr, als CVEs vergeben wurden.