Aus dem Unterricht des CAS Digital Risk Management mit Ivan Bütler, Founder Compass Security und Philipp Sieber, CEO Compass Cyber Defense berichtet Volkan Coskun:

Der Alltag in der digitalen Welt ist mit Risiken und Schwachstellen in Systemen überhäuft. Egal wie gut die individuellen Schutzmassnahmen auch sind. Eines ist vorweg zu nehmen, die 100-prozentige Sicherheit gibt es in der Cyber Welt nicht. Dies, weil meist Menschen am Werke sind – und sich gleichzeitig als die grösste Schwachstelle präsentieren!

Der Nachmittag des vierten CAS Digital Risk Management Tages stand im Fokus des Hackings! Die beiden selbsternannten guten Krieger der Cyber Welt denken und handeln wie die bösen Krieger – die Hacker – um mögliche Risiken beurteilen und Schwachstellen in Systemen entdecken zu können.

Die „Direct Attacks“

Zunächst eine Grafik als Einstieg, welche die Top 10 Cyberattacken abbildet. Es handelt sich dabei um die OWAS-Liste:

SQL Injection

SQL-Injection bezeichnet das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL-Datenbanken, die durch mangelnde Maskierung oder Überprüfung von Metazeichen in Benutzereingaben entsteht. Der Angreifer versucht dabei, über eine x beliebige Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Das Ziel dabei ist es, Daten auszuspähen, im eigenen Sinne zu verändern, die Kontrolle über den Server zu erhalten oder einfach grösstmöglichen Schaden anzurichten. Diese Bedrohung ist laut den beiden Dozenten immer noch, obwohl ziemlich allen bekannt, eine der kritischsten Bereiche im Internet.

Nach einer kurzen Einführung hatten wir Studierenden dann die Gelegenheit, selbst einen solchen Angriff zu starten, was zum Erschrecken vieler, doch einfach zu bewerkstelligen war.

XML Injection

Deutlich unbekannter als die SQL-Injection jedoch nicht weniger gefährlich. Die Ausführung ähnelt dabei der SQL-Injection. Auch hier hatten die Studierenden die Gelegenheit, einen solchen Angriff live in der Hacking Lab durchzuführen

Denial of Service Attack

Die „Low Orbit Ion Cannon“-Attacke auch DDos-Attacke genannt, ist eine absichtlich herbeigeführte Serverüberlastung. Diese Angriffsform wird aktuell in der Schweiz am meisten verwendet. Betroffen davon sind meist Online-Shops, Partei-Webseiten oder Banken (E-Banking). DDos-Attacken belasten die Dienste eines Hosts, beispielsweise HTTP, mit einer grösseren Anzahl Anfragen, als diese verarbeiten können, worauf normale Anfragen nicht oder nur sehr langsam beantwortet werden. Im Unterschied zu anderen Attacken will der Angreifer beim DDoS-Angriff normalerweise nicht in den Computer eindringen und benötigt deshalb keine Passwörter vom Zielrechner.

WiFi Passcode

Der Hacker benötigt eine spezielle Software, z.B. ein Brute Force Programm, mit welcher er falsche Datenpakete mehrmals über das WiFi-Netz versendet. Dabei werden laufend und automatisch Informationen zurückgesendet. Diese werden von der Hacker-Software gesammelt. Nach einer gewissen Zeit sind alle nötigen Informationen zusammengekommen, um das WiFi-Passwort entschlüsseln zu können.

Scada System (Supervisory Control and Data Acquisition)

Mit dieser Attacke werden Systeme gehackt und somit wird die volle Kontrolle über unterschiedlichste Infrastrukturen übernommen. Ziele sind dabei vor allem Industrieanlagen, die mit dem Internet verbunden sind. SHODAN, die Google Suche für Industriegüter im Internet, hilft den Hackern dabei, sich Ihre „Opfer“ auszusuchen.

Remote Access

Der „Remote Access“ ist ein externer Zugriff auf eine interne Systemumgebung. Bei der „Remote Access“-Attacke nutzt der Angreifer mögliche Schwachstellen innerhalb der Computer- oder Security-Software. Der Angreifer ermöglicht sich somit Zugriff auf geheime Daten oder kann Schadsoftware installieren.

Open Source Software

Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Fehler betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit Version 1.0.1g am 7. April 2014 behoben. Ein grosser Teil der Online-Dienste, darunter auch namhafte Websites wie auch VoIP-Telefone, Router und Netzwerkdrucker waren dadurch für Angriffe anfällig.

Windows Conficker

Der Conficker ist ein Computer-Wurm, welcher speziell programmiert ist, um Microsoft-Windows-Systeme anzugreifen. Dabei dringt der Wurm bis zum Systemadministrator durch. Dabei verschafft er sich Zugang auf die Administrator-Passwörter und kann anschliessend ungehindert Schadsoftware installieren. Ist der Angriff erfolgreich, erhalten die Angreifer persönliche Informationen, z.B. zu E-Banking-Passwörtern, Kreditkartennummern usw.

Gegenmassnahmen bei direkten Attacken

Die Gefahren sind nun bekannt, selbstverständlich gibt es auch konkrete Gegenmassnahmen, die eingeleitet werden können, um sich gegen solche Angriffe zu schützen. Folgende sind dabei besonders erstrebenswert:

  • Entwickler sensibilisieren und ausbilden
  • Firewall einrichten (Second Line of Defense WAF)
  • Starke Authentifizierung, Zertifikat
  • Automatische Software-Updates
  • Libraries Updates
  • Penetration Tests
  • Passwort Policy / Passwort Aging und Delay
  • Fraud Detection
  • Forensic Readiness
  • Backup & Recovery
  • Hardening

Indirect Attacks

Die sogenannten indirekten Attacken sind laut den beiden Dozierenden die Achillesferse des Internets. Dabei wird der Trojaner durch einen Klick (tarnt als Bewerbung, Bild oder sonstiger Dateityp) meist im Zusammenhang mit einer guten, auf das „Opfer“ angepassten Geschichte über den Mensch eingeschleust. Anschliessend bohrt der Trojaner, wie es die Dozierenden sinnbildlich zu erklären versuchten, einen Weg von innen nach aussen ein Loch, um dann die restlichen Viren einzuschleusen.