Hacken für Dummies E-Book

Hacken für Dummies

Schummelseite

Hacken für Dummies

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

6. Auflage 2021

© 2021 Wiley-VCH GmbH, Weinheim

Original English language edition © Hacking for dummies, 6th edition, 2018 by Wiley Publishing, Inc.

All rights reserved including the right of reproduction in whole or in part in any form. This translation published by arrangement with John Wiley and Sons, Inc.

Copyright der englischsprachigen Originalausgabe © Hacking for Dummies, 6. Auflage, 2018 by Wiley Publishing, Inc.

Alle Rechte vorbehalten inklusive des Rechtes auf Reproduktion im Ganzen oder in Teilen und in jeglicher Form. Diese Übersetzung wird mit Genehmigung von John Wiley and Sons, Inc. publiziert.

Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.

Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.

Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.

Coverfoto: © Ihor/stock.adobe.comKorrektur: Isolde Kommer

Print ISBN: 978-3-527-71795-8ePub ISBN: 978-3-527-82922-4

Über den Autor

Kevin Beaver arbeitet als unabhängiger Berater für IT-Sicherheitsfragen und Gutachter, hält Vorträge und ist Mitbegründer der Firma Principle Logic, LLC. Er kann auf fast drei Jahrzehnte Erfahrung in der IT und über ein Vierteljahrhundert im Sicherheitsbereich verweisen. Kevin Beaver hat sich auf die Durchführung unabhängiger Datensicherheitsbeurteilungen für Unternehmen, Anbieter von Sicherheitsprodukten, Softwareentwickler, Dienstleister in der Cloud, Regierungseinrichtungen und gemeinnützige Organisationen spezialisiert. Bevor er sich 2001 als Berater in IT-Sicherheitsfragen selbstständig machte, arbeitete er im Rahmen der Informations- und Sicherheitstechnologie in unterschiedlichen Positionen bei verschiedenen Institutionen des Gesundheitswesens, E-Commerce, Erziehungswesens und der Finanzbranche.

Kevin Beaver trat bereits beim Fernsehsender CNN als Experte für IT-Sicherheitsfragen auf und wurde von The Wall Street Journal, Entrepreneur, Fortune Small Business, Women's Health und der Technologiesite IncTechnology.com des Inc.-Magazins zitiert. Und auch das PCI Council verweist in seinen Data Security Standard Wireless Guidelines auf ihn. Kevin Beaver ist über die Jahre zu einem gefragten Keynote-Speaker und Seminarleiter geworden und hat über hundert Veranstaltungen von IDC, RSA, CSI, IIA, ISSA, ISACA und der SecureWorld Expo geleitet. Darüber hinaus hat er mehr als vier Dutzend Webcasts für TechTarget, Ziff-Davis und andere Verlage durchgeführt.

Kevin Beaver hat als Autor oder Mitautor ein Dutzend Bücher zum Thema der IT-Sicherheit veröffentlicht. Dazu gehören Hacking Wireless Networks For Dummies, Implementation Strategies for Fulfilling and Maintaining IT Compliance (Realtimepublishers.com) und The Practical Guide to HIPAA Privacy and Security Compliance (Auerbach) und Hacking Wireless Networks For Dummies, Securing the Mobile Enterprise For Dummies und Laptop Encryption For Dummies. Er hat über drei Dutzend Whitepapers und mehr als 1.000 Artikel verfasst und versorgt als Gast-Blogger Websites wie TechTarget'ssearchsecurity.techtarget.com, Ziff Davis’Toolbox.com und IBM'sSecurityIntelligence.com mit Beiträgen.

Kevin Beaver ist der Verfasser und Produzent der Hörbuchreihe Security On Wheels, die IT-Profis unterwegs mit Lernmaterial zum Thema Sicherheit versorgt. Er behandelt Informationssicherheit und verwandte Themen auch auf Twitter (@kevinbeaver) und YouTube (PrincipleLogic). Kevin Beaver hat seinen Bachelor in Computertechnik am Southern College of Technology und seinen Master in Technologiemanagement am Georgia Tech erworben. Darüber hinaus verfügt er über mehrere Zertifikate, wie beispielsweise CISSP, MCSE, Master CNE und IT Project+.

Sie können Kevin Beaver über seine Website www.principlelogic.com und über www.linkedin.com/in/kevinbeaver erreichen.

Inhaltsverzeichnis

Cover

Über den Autor

Einführung

Teil I: Den Grundstock für Sicherheitstests legen

Kapitel 1: Einführung in Schwachstellen- und Penetrationstests

Begriffserklärungen

Wie aus arglistigen Angreifern ethische Hacker werden

Warum eigene Systeme hacken?

Die Gefahren verstehen, denen Ihre Systeme ausgesetzt sind

Prinzipien bei Sicherheitsbewertungen

Die Arbeitsabläufe bei Schwachstellen- und Penetrationstests

Kapitel 2: Die Denkweise von Hackern nachvollziehen

Ihre Gegenspieler

Wer in Computersysteme einbricht

Warum machen sie das?

Angriffe planen und ausführen

Anonymität wahren

Kapitel 3: Einen Plan für Ihre Sicherheitstests entwickeln

Zielsetzungen festlegen

Festlegen, welche Systeme getestet werden sollen

Teststandards formulieren

Werkzeuge für Sicherheitsgutachten auswählen

Kapitel 4: Die Methodik des Hackens

Die Bühne für das Testen vorbereiten

Sehen, was andere sehen

Systeme scannen

Feststellen, was über offene Ports läuft

Schwachstellen bewerten

In das System eindringen

Teil II: Erste Sicherheitstests durchführen

Kapitel 5: Daten sammeln

Öffentlich verfügbare Daten sammeln

Netzwerkstrukturen abbilden

Kapitel 6: Social Engineering

Eine Einführung in Social Engineering

Erste Tests im Social Engineering

Warum Social Engineering für Angriffe genutzt wird

Die Auswirkungen verstehen

Social-Engineering-Angriffe durchführen

Maßnahmen gegen Social Engineering

Kapitel 7: Physische Sicherheit

Grundlegende physische Sicherheitsschwachstellen identifizieren

Physische Schwachstellen in den eigenen Büros aufspüren

Kapitel 8: Kennwörter

Schwachstellen bei Kennwörtern verstehen

Kennwörter knacken

Allgemeine Gegenmaßnahmen beim Knacken von Kennwörtern

Betriebssysteme sichern

Teil III: Netzwerkhosts hacken

Kapitel 9: Netzwerkinfrastruktur

Schwachstellen der Netzwerkinfrastruktur

Werkzeuge auswählen

Das Netzwerk scannen und durchwühlen

Bekannte Schwachstellen von Routern, Switches und Firewalls erkennen

Aspekte der Preisgabe von Daten durch SSL und TLS

Einen allgemeinen Netzwerkverteidigungswall einrichten

Kapitel 10: Drahtlose Netzwerke

Die Folgen von WLAN-Schwachstellen verstehen

Die Auswahl Ihrer Werkzeuge

Drahtlose Netzwerke aufspüren

Angriffe auf WLANs erkennen und Gegenmaßnahmen ergreifen

Kapitel 11: Mobilgeräte

Schwachstellen von Mobilgeräten abschätzen

Kennwörter von Laptops knacken

Telefone, Smartphones und Tablets knacken

Teil IV: Betriebssysteme hacken

Kapitel 12: Windows

Windows-Schwachstellen

Werkzeugauswahl

Daten über Ihre Windows-Systemschwachstellen sammeln

Null-Sessions entdecken

Freigabeberechtigungen überprüfen

Fehlende Patches nutzen

Authentifizierte Scans ablaufen lassen

Kapitel 13: Linux und macOS

Linux-Schwachstellen verstehen

Werkzeugauswahl

Daten über Ihre System-Schwachstellen unter Linux und macOS sammeln

Nicht benötigte und unsichere Dienste ermitteln

Die Dateien .rhosts und hosts.equiv schützen

Die Sicherheit von NFS überprüfen

Dateiberechtigungen überprüfen

Schwachstellen für Pufferüberläufe finden

Physische Sicherheitsmaßnahmen überprüfen

Allgemeine Sicherheitstests durchführen

Sicherheitsaktualisierungen für Linux

Teil V: Anwendungen hacken

Kapitel 14: Kommunikations- und Benachrichtigungssysteme

Grundlagen der Schwachstellen bei Messaging-Systemen

Erkennung und Abwehr von E-Mail-Angriffen

Voice over IP verstehen

Kapitel 15: Webanwendungen und Apps für Mobilgeräte

Die Werkzeuge für Webanwendungen auswählen

Web-Schwachstellen auffinden

Risiken bei der Websicherheit minimieren

Schwachstellen von Apps für Mobilgeräte aufspüren

Kapitel 16: Datenbanken und Speichersysteme

Datenbanken untersuchen

Bewährte Vorkehrungen zur Minimierung der Sicherheitsrisiken bei Datenbanken

Sicherheit für Speichersysteme

Bewährte Vorgehensweisen zur Minimierung von Sicherheitsrisiken bei der Datenspeicherung

Teil VI: Aufgaben nach den Sicherheitstests

Kapitel 17: Die Ergebnisse präsentieren

Die Ergebnisse zusammenführen

Schwachstellen Prioritäten zuweisen

Berichterstellung

Kapitel 18: Sicherheitslücken beseitigen

Berichte zu Maßnahmen werden lassen

Patchen für Perfektionisten

Systeme härten

Die Sicherheitsinfrastrukturen prüfen

Kapitel 19: Sicherheitsprozesse verwalten

Den Prozess der Sicherheitsbestimmung automatisieren

Bösartige Nutzung überwachen

Sicherheitsprüfungen auslagern

Die sicherheitsbewusste Einstellung

Auch andere Sicherheitsmaßnahmen nicht vernachlässigen

Teil VII: Der Top-Ten-Teil

Kapitel 20: Zehn Tipps für die Unterstützung der Geschäftsleitung

Sorgen Sie für Verbündete und Geldgeber

Geben Sie nicht den Aufschneider

Zeigen Sie, warum es sich das Unternehmen nicht leisten kann, gehackt zu werden

Betonen Sie allgemeine Vorteile der Sicherheitstests

Zeigen Sie, wie insbesondere Sicherheitstests Ihrem Unternehmen helfen

Engagieren Sie sich für das Unternehmen

Zeigen Sie sich glaubwürdig

Reden Sie wie ein Manager

Demonstrieren Sie den Wert Ihrer Anstrengungen

Seien Sie flexibel und anpassungsfähig

Kapitel 21: Zehn Gründe, warum nur Hacken effektive Tests ermöglicht

Die Schurken hegen böse Absichten, nutzen beste Werkzeuge und entwickeln neue Methoden

Einhaltung von Vorschriften und Regeln bedeutet in der IT mehr als Prüfungen mit anspruchsvollen Checklisten

Schwachstellen- und Penetrationstests ergänzen Audits und Sicherheitsbewertungen

Kunden und Partner interessiert die Sicherheit Ihrer Systeme

Das Gesetz des Durchschnitts arbeitet gegen Ihr Unternehmen

Sicherheitsprüfungen verbessern das Verständnis für geschäftliche Bedrohungen

Bei Einbrüchen können Sie auf etwas zurückgreifen

Intensive Tests enthüllen die schlechten Seiten Ihrer Systeme

Sie sind auf die Vorteile kombinierter Schwachstellen- und Penetrationstests angewiesen

Sorgfältiges Testen kann Schwachstellen aufdecken, die ansonsten vielleicht lange übersehen worden wären

Kapitel 22: Zehn tödliche Fehler

Keine Genehmigung vorab einholen

Davon ausgehen, dass im Testverlauf alle Schwachstellen gefunden werden

Anzunehmen, alle Sicherheitslöcher beseitigen zu können

Tests nur einmal ausführen

Glauben, alles zu wissen

Tests nicht aus der Sicht von Hackern betrachten

Die falschen Systeme testen

Nicht die richtigen Werkzeuge verwenden

Sich zur falschen Zeit mit Produktivsystemen befassen

Tests Dritten überlassen und sich dann nicht weiter darum kümmern

Kapitel 23: Anhang: Werkzeuge und Ressourcen

Allgemeine Hilfen

Anspruchsvolle Malware

Bluetooth

Datenbanken

DoS-Schutz (Denial of Service)

Drahtlose Netzwerke

Exploits

Gesetze und Vorschriften

Hacker-Zeugs

Kennwörter knacken

Keylogger

Linux

Live-Toolkits

Messaging

Mobil

Netzwerke

Patch-Management

Protokollanalyse

Quellcode-Analyse

Schwachstellendatenbanken

Social Engineering und Phishing

Speicherung

Systeme härten

Verschiedenes

Voice over IP

Wachsamkeit der Benutzer

Websites und Webanwendungen

Windows

WLAN

Wörterbuchdateien und Wortlisten

Zertifizierungen

Stichwortverzeichnis

End User License Agreement

Tabellenverzeichnis

Kapitel 9

Tabelle 9.1: Häufig gehackte Ports

Kapitel 17

Tabelle 17.1: Schwachstellen bewerten

Illustrationsverzeichnis

Kapitel 4

Abbildung 4.1: Mit dem Werkzeug von Netcraft können Sie die laufende We...

Kapitel 6

Abbildung 6.1: Mit LUCY eine E-Mail-Phishing-Kampagne starten

Abbildung 6.2: Beispieloptionen für Phishing-Templates in LUCY

Kapitel 8

Abbildung 8.1: Einstellungen für Brute-Force-Angriffe mit Proactive Pas...

Abbildung 8.2: Die Ausgabe von pwdump3

Abbildung 8.3: Von John the Ripper geknackte Kennwörter

Abbildung 8.4: Mit Cain & Abel lassen sich Kennwörter abfangen, ...

Kapitel 9

Abbildung 9.1: Ein Ping Sweep in einem vollständigen Klasse-C-Teilnetz ...

Abbildung 9.2: Optionen zum Scannen von Ports mit NMapWin

Abbildung 9.3: Das »OS Fingerprinting«-Werkzeug von NetScanTools Pro

Abbildung 9.4: Allgemeine SNMP-Informationen, die mit Getif gesammelt wurden

Abbildung 9.5: Benutzer-IDs für die Verwaltungsschnittstelle, die mit G...

Abbildung 9.6: Informationen, die Telnet über Exchange sammelt

Abbildung 9.7: Einen Netzwerkanalysator außerhalb der Firewall anschließen

Abbildung 9.8: Mit OmniPeek lässt sich leichter herausfinden, ob auf einem System...

Abbildung 9.9: Die Schnittstelle von CommView für die Anzeige von Netzwerkstatist...

Abbildung 9.10: NetResident kann die Nutzung des Internets beobachten und dafür s...

Abbildung 9.11: Die Hosts eines Opfers für ARP-Poisoning in Cain & Abel auswählen

Abbildung 9.12: Die Ergebnisse von Cain & Abel beim ARP-Poisoning

Kapitel 10

Abbildung 10.1: Die MAC-Adresse eines Zugangspunkts mit »arp« ermitteln

Abbildung 10.2: Suchen Sie in der WiGLE-Datenbank nach Ihren drahtlosen Zugangspu...

Abbildung 10.3: NetStumbler zeigt detaillierte Informationen über Zugangspunkte (...

Abbildung 10.4: Scan eines aktiven Zugangspunkts mit LanGuard

Abbildung 10.5: WEP-Initialisierungen werden mit airodump gesammelt.

Abbildung 10.6: aircrack wird verwendet, um WEP zu knacken.

Abbildung 10.7: Elcomsoft Wireless Security Auditor wird für das Knacken von WPA-...

Abbildung 10.8: Den verschlüsselten drahtlosen Datenverkehr mit OmniPeek beobacht...

Abbildung 10.9: Elcomsoft Wireless Security Auditor mit seinen zahlreichen Option...

Abbildung 10.10: Das Startfenster von Reaver Pro

Abbildung 10.11: Mit Reaver Pro prüfen, ob WPS aktiviert ist

Abbildung 10.12: NetStumbler weist auf potenziell unberechtigte APs hin.

Abbildung 10.13: Sie können OmniPeek so einrichten, dass es auch WAPs entdeckt, d...

Abbildung 10.14: Mit CommView for Windows fremde WLANs aufspüren

Abbildung 10.15: CommView for WiFi zeigt mehrere verdächtige Ad-hoc-Clients an.

Abbildung 10.16: Mit NetStumbler WAPs aufspüren, auf die zugegriffen werden kann

Abbildung 10.17: Suchen Sie im getesteten Netzwerk nach der MAC-Adresse eines WLA...

Abbildung 10.18: SMAC zeigt eine manipulierte MAC-Adresse an.

Kapitel 11

Abbildung 11.1: Elcomsoft System Recovery eignet sich gut zum Knacken und Zurücks...

Abbildung 11.2: Kennwort-Hashes einer SAM-Datenbank mit ophcrack laden

Abbildung 11.3: Mit ophcrack extrahierte Benutzernamen

Abbildung 11.4: Mit ophcrack die erforderlichen Hash-Tabellen laden

Abbildung 11.5: Die zentrale Seite von iOS Forensic Toolkit

Abbildung 11.6: Wählen Sie in der Liste das entsprechende Gerät aus.

Abbildung 11.7: Die Ramdisk von iOS Forensic Toolkit wurde erfolgreich geladen.

Abbildung 11.8: Eine aus vier Zeichen bestehende PIN auf einem iPhone knacken

Kapitel 12

Abbildung 12.1: Das Scannen von Ports auf einem System unter Windows 10 mit NetSc...

Abbildung 12.2: Die verwendeten SMB-Versionen mit dem SMB-Scanner von NetScanTool...

Abbildung 12.3: Finden Sie mit Nmap die Windows-Version heraus.

Abbildung 12.4: Mit nbtstat Angaben über ein Windows-System ermitteln

Abbildung 12.5: Durchsuchen Sie mit LanGuard Ihr Netzwerk nach Windows-Freigaben.

Abbildung 12.6: Einem verwundbaren Windows-System eine Null-Session zuordnen.

Abbildung 12.7: »net view« zeigt Freigaben auf einem entfernten Windows-Host an.

Abbildung 12.8: Die standardmäßigen Sicherheitsrichtlinien von Windows 7 schränke...

Abbildung 12.9: Das Profil Share Finder von SoftPerfect Network Scanner findet Wi...

Abbildung 12.10: Von Nexpose gefundene angreifbare Schwachstellen

Abbildung 12.11: Die zentrale Metasploit-Konsole

Abbildung 12.12: Metasploit-Optionen zur Anzeige einer Befehlseingabezeile auf de...

Abbildung 12.13: Ein Fenster zur Eingabe von Befehlen für ein fernbedientes Ziels...

Abbildung 12.14: Die grafische Oberfläche von Metasploit Pro stellt eine breite P...

Abbildung 12.15: Es ist leicht, in Metasploit Pro Exploits auszunutzen: Importier...

Abbildung 12.16: Anmeldedaten vor einem authentifizierten Scan mit LanGuard prüfe...

Kapitel 13

Abbildung 13.1: Die Ports eines Linux-Systems mit NetScanTools Pro scannen

Abbildung 13.2: Mit Nexpose Schwachstellen in macOS auffinden

Abbildung 13.3: Die Option »Test Credentials« als Bestandteil der Konfiguration e...

Abbildung 13.4: Mit Nmap die Version des BS-Kernels eines Linux-Servers ermitteln

Abbildung 13.5: NetScan-Tools Pro ermittelt, dass wahrscheinlich Slackware Linux ...

Abbildung 13.6: Lassen Sie sich mit nmap die Versionsnummern von Diensten und App...

Abbildung 13.7: Die Prozess-IDs laufender Daemons mit »ps -aux« anzeigen

Abbildung 13.8: Die Option »disable« der Datei »rexec«

Abbildung 13.9: »/etc/inittab« zeigt die Zeile an, die ein Herunterfahren über St...

Abbildung 13.10: Das Programm Tiger beim Durchführen von Sicherheitsprüfungen

Abbildung 13.11: Ein Teil der von Tiger gelieferten Ergebnisse

Kapitel 14

Abbildung 14.1: Die Ressourcennutzung für eingehende Verbindungen begrenzen

Abbildung 14.2: Ein SMTP-Banner liefert Angaben zur Serverversion.

Abbildung 14.3: Ein SMTP-Banner, bei dem die Versionsangaben verborgen wurden

Abbildung 14.4: smtpscan ermittelt selbst dann Versionsangaben, wenn diese im Ban...

Abbildung 14.5: Lassen Sie sich mit »VRFY« existierende E-Mail-Adressen bestätige...

Abbildung 14.6: Prüfen Sie mit »EXPN«, ob eine Mailingliste existiert.

Abbildung 14.7: Eine E-Mail-Adresse mit EmailVerify überprüfen

Abbildung 14.8: Mit »smtp-user-enum« E-Mail-Adressen sammeln

Abbildung 14.9: Unter NetScanTools Pro können Sie über SMTP-Server Tests nach off...

Abbildung 14.10: Wichtige Angaben, die ein E-Mail-Header preisgibt

Abbildung 14.11: Testen Sie die Funktionsfähigkeit Ihrer Antivirensoftware mit de...

Abbildung 14.12: Ein Scan eines VoIP-Netzwerkadapters mit Webinspect offenbart ei...

Abbildung 14.13: VoIP-Gespräche mit Cain & Abel abfangen, aufzeichnen und wiederg...

Kapitel 15

Abbildung 15.1: Mit HTTrack durch eine Website krabbeln

Abbildung 15.2: Ändern Sie die Länge von Formularfeldern mit Firefox Web Develope...

Abbildung 15.3: Verborgene Felder mit WebInspect finden, um sie zu ändern

Abbildung 15.4: Netsparker hat Schwachstellen für SQL-Einschleusungen entdeckt.

Abbildung 15.5: Meldung von erkanntem XSS-Code im Browser

Abbildung 15.6: Mit Acunetix Web Vulnerability Scanner XSS-Schwachstellen in eine...

Abbildung 15.7: Die URL gibt eine Fehlermeldung zurück, wenn ein ungültiger Benut...

Abbildung 15.8: Die URL gibt eine andere Fehlermeldung zurück, wenn ein ungültige...

Abbildung 15.9: Das Tool Brutus zum Testen schwacher Webanmeldungen

Abbildung 15.10: Die Anmeldeinformationen einer IP-Kamera sind direkt in den HTML...

Kapitel 16

Abbildung 16.1: SQLPing3 kann Systeme mit SQL Server aufspüren und prüfen, ob das...

Abbildung 16.2: Oracle-Kennwort-Hashes mit Cain & Abel knacken

Abbildung 16.3: Mit dem Netzwerkscanner von SoftPerfect nach Freigaben im Netzwer...

Abbildung 16.4: Sensiblen Text mit FileLocator Pro in ungeschützten Freigaben suc...

Orientierungspunkte

Cover

Inhaltsverzeichnis

Fangen Sie an zu lesen

Seitenliste

1

2

3

4

7

8

9

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

359

360

361

362

363

364

365

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

Einführung

Willkommen zu Hacken für Dummies. Vorab zur Klarstellung, um Missverständnisse gleich aus dem Weg zu räumen: Das Thema und der Begriff »Hacken« können in einer Reihe verschiedener Bedeutungen verwendet werden, die kaum noch etwas miteinander zu tun haben. Was Sie in diesem Buch nicht finden, sind direkte Anleitungen zum Hacken von Anwendungen, Entschlüsseln von Sicherheitscodes, Umgehen von Aktivierungen und was Sie vielleicht sonst noch anhand des Buchtitels in dieser Richtung an Aktivitäten von Programmierern erwarten könnten. Dieses Buch beschreibt zwar – in verständlicher Sprache – Tricks und Techniken von Computerhackern, es geht aber tatsächlich um Maßnahmen, um sich gegen diese möglichst gut zu wappnen und den Sicherheitsstand Ihrer IT-Systemumgebung zu beurteilen. Sie sollen seine Schwachstellen erkennen und diese beseitigen lernen, bevor kriminelle Hacker und/oder böswillige Benutzer Nutzen daraus ziehen. Diese legalen Aktivitäten im Bereich der Sicherheitstests, die ich hier als »ethisches Hacken« oder Verwundbarkeits- und Penetrationstests bezeichnen werde und um die es in diesem Buch geht, sind die professionelle und legale Art, eigene Sicherheitsmaßnahmen zu testen und zu implementieren.

Die Sicherheit von Computern und Netzwerken ist ein vielschichtiges Thema, das sich in ständiger Bewegung befindet. Sie müssen immer auf aktuellen Stand bleiben, da nur dann gewährleistet sein kann, dass Ihre Daten vor den Schurken weitgehend geschützt sind. Und genau dabei können Ihnen die Werkzeuge und Techniken helfen, die in diesem Buch vorgestellt werden.

Sie können alle möglichen Sicherheitstechnologien implementieren und den empfohlenen Vorgehensweisen folgen, um Ihre Rechnerumgebung nach bestem Wissen und Gewissen zu schützen. Solange Sie aber die Denkweise heimlicher Angreifer nicht nachvollziehen können, nicht über deren Wissen verfügen und die richtigen Werkzeuge nutzen, um eigene Systeme aus dieser Perspektive heraus »anzugreifen«, werden Sie kein wirkliches Gespür für die tatsächliche Sicherheit Ihrer Daten entwickeln können.

Ethisches Hacken oder einfacher ausgedrückt »Sicherheitsbeurteilungen«, die formale und methodische Verwundbarkeits- und Penetrationstests umfassen, ist erforderlich, um Sicherheitslücken ausfindig zu machen. Zudem werden Prüfungen durchgeführt, um sich davon zu überzeugen, dass die eigenen Informationssysteme auf Dauer wirklich sicher sind. Dieses Buch versorgt Sie mit dem notwendigen Wissen, um erfolgreich Programme für Sicherheitsbeurteilungen implementieren zu können, Sicherheitsprüfungen richtig durchzuführen und geeignete Gegenmaßnahmen einzurichten, um externe Hacker und böswillige Typen in Schach zu halten.

Über dieses Buch

Hacken für Dummies ist ein Leitfaden zum Hacken Ihrer Systeme, um deren Sicherheit zu verbessern und Geschäftsrisiken zu verringern. Die Vorgehensweise bei Sicherheitstests basiert auf geschriebenen und ungeschriebenen Regeln und bewährten Verfahren aus dem Computerbereich für Penetrations- und Schwachstellentests der Datensicherheit. Dieses Buch behandelt alle Maßnahmen vom Erstellen eines Plans für Systemtests bis hin zum Schließen der Lücken und der Verwaltung laufender Sicherheitstestprogramme.

Tatsächlich existieren für viele Netzwerke, Betriebssysteme und Anwendungen Abertausende mögliche Schwachstellen. Ich kann sie hier unmöglich alle aufführen, werde aber die meiner Einschätzung nach wichtigsten für die verschiedenen Plattformen und Systeme behandeln, die heute im Geschäftsbetrieb die größten Sicherheitsprobleme darstellen. Ich werde das Paretoprinzip (80/20-Regel) behandeln, bei dem es darum geht, jene 20 Prozent der Fragen zu untersuchen, die für 80 Prozent Ihrer Sicherheitsrisiken verantwortlich sein können. Ob Sie nun Sicherheitsschwächen in einem kleinen Heim- oder Büronetzwerk, dem Netzwerk eines mittelständischen Unternehmens oder in einem großen unternehmensweiten System aufspüren wollen, Hacken für Dummies liefert Ihnen die erforderlichen Informationen.

Dieses Buch versorgt Sie mit den folgenden Angaben:

Verschiedene technische und nicht technische Tests und eine ausführliche Beschreibung der Vorgehensweisen

Spezifische Gegenmaßnahmen zum Schutz vor Hacking-Angriffen und Einbrüchen

Bevor Sie beginnen, Ihre Systeme zu testen, sollten Sie sich mit den Informationen aus Teil I vertraut machen, um sich auf die anstehenden Aufgaben vorzubereiten. Das Sprichwort »Wenn Sie an der Planung scheitern, planen Sie Ihr Scheitern« gilt auch für das ethische Hacken. Für den eigenen Erfolg benötigen Sie die erforderlichen Berechtigungen und müssen einen ausgefeilten Schlachtplan besitzen.

Törichte Annahmen über den Leser

Haftungsausschluss: Dieses Buch dient IT- und Sicherheitsverantwortlichen einzig dazu, die Datensicherheit – entweder an eigenen oder Kundensystemen – mit entsprechender Genehmigung zu prüfen. Sollten Sie sich entschließen, Informationen aus diesem Buch einzusetzen, um heimlich und ohne Genehmigung in Computersysteme einzudringen, geschieht dies ausschließlich auf eigene Gefahr. Weder ich als Autor noch irgendjemand sonst, der mit der Herstellung und dem Vertrieb dieses Buches zu tun hat, kann für Ihre unethischen oder kriminellen Handlungen haftbar gemacht werden, die Sie vielleicht durchführen, indem Sie auf hier beschriebene Methoden und Werkzeuge zurückgreifen.

Nachdem das nun geklärt ist, wird es Zeit für etwas angenehmere Dinge! Dieses Buch richtet sich an Sie, wenn Sie Netzwerkadministrator, Verantwortlicher für Datensicherheit, Berater oder Auditor für Sicherheitsfragen, Compliance Manager (Richtlinienbeauftragter) oder einfach nur daran interessiert sind, mehr über legales und ethisches Testen von Computersystemen und IT-Umgebungen herauszufinden, um sie langfristig sicherer zu machen.

Außerdem setze ich bei Ihnen als angehendem IT- oder Sicherheitsprofi einige Dinge voraus:

Sie sind vertraut mit grundlegenden Konzepten der Computer-, Netzwerk- und Datensicherheit und entsprechenden Begriffen.

Sie können auf einen Computer und ein Netzwerk zugreifen und können/dürfen die hier vorgestellten Techniken und Werkzeuge ausprobieren und damit aus dem Internet herunterladen.

Sie verfügen über die erforderlichen Berechtigungen und Genehmigungen Ihres Arbeitgebers oder Klienten, um die in diesem Buch beschriebenen Techniken des Hackens ausführen zu können.

Symbole, die in diesem Buch verwendet werden

In diesem Buch werden Ihnen die folgenden Symbole begegnen:

Dieses Symbol weist auf Informationen hin, bei denen es sich lohnt, sie sich zu merken.

Dieses Symbol weist auf Informationen hin, die sich negativ auf Ihre Verwundbarkeits- und Penetrationstests auswirken können. Sie sollten sie daher besser lesen!

Dieses Symbol weist auf Tipps hin, die dazu beitragen können, wichtige Punkte besser zu beleuchten oder zu klären.

Dieses Symbol weist auf technische Informationen hin, die zwar interessant sind, aber nicht unbedingt benötigt werden, um das gerade behandelte Thema zu verstehen.

Wie es weitergeht

Je mehr Sie über die Arbeitsweise externer Hacker und schurkischer Insider und mögliche Tests Ihrer Systeme wissen, desto sicherer können Sie Ihre Computer machen. Dieses Buch liefert die Grundlagen, um erfolgreiche Maßnahmen für die Sicherheitsbeurteilung und Ermittlung möglicher Angriffspunkte in Ihrem Unternehmen entwickeln und warten zu können und auf diesem Wege Geschäftsrisiken zu minimieren.

Abhängig von Ihrer Computer- und Netzwerkkonfiguration können Sie eventuell ganze Kapitel überspringen. Wenn Sie beispielsweise Linux nicht im Einsatz haben oder keine drahtlosen Netzwerke nutzen, können Sie die entsprechenden Kapitel überspringen. Passen Sie aber auf. Schnell meint man, bestimmte Systeme nicht einzusetzen, obwohl sie irgendwo im Netzwerk doch laufen und nur darauf warten, geknackt zu werden.

Vergessen Sie nicht, dass sich die Konzepte bei Sicherheitstests nicht so oft ändern wie die spezifischen Schwachstellen, gegen die es sich zu schützen gilt. Ethisches Hacken wird ein Bereich zwischen Kunst und Wissenschaft bleiben, der sich fortwährend ändert. Sie müssen immer mit den neuesten Technologien der Hard- und Software vertraut sein und dabei die verschiedenen Schwachstellen kennen, die hier täglich, monatlich und jährlich neu auftauchen.

Sie werden niemals nur einen optimalen Weg für das Hacken und Testen Ihrer Systeme finden, weshalb Sie die hier vorgestellten Materialien nach Lust und Laune an Ihre konkreten Anforderungen anpassen können und sollten. Und damit auf zum fröhlichen (ethischen) Hacken!

Teil I

Den Grundstock für Sicherheitstests legen

Kapitel 1

Einführung in Schwachstellen- und Penetrationstests

In diesem Buch geht es um das Testen Ihrer Computer und Netzwerke, um Sicherheitslücken aufzuspüren und aufgefundene Schwachstellen zu beheben, bevor die Schurken Gelegenheit bekommen, sie auszunutzen.

Begriffserklärungen

Jeder dürfte bereits etwas von Hackern und böswilligen Benutzern gehört haben. Viele Anwender mussten bereits selbst unter den Folgen krimineller Hackerangriffe leiden. Um wen handelt es sich bei diesen Leuten? Und was sollte man über sie wissen? Die folgenden Abschnitte sollen Ihnen einige grundlegende Fakten über diese Angreifer vermitteln.

»Hacker«

Der Begriff Hacker hat zwei Bedeutungen:

Traditionell basteln Hacker gerne an Software oder elektronischen Systemen herum. Hackern gefällt es, wenn sie herausfinden und lernen, wie Computersysteme funktionieren. Sie lieben es, sich sowohl mechanisch als auch elektronisch neue Möglichkeiten zu erschließen.

In den letzten Jahren hat der Begriff

Hacker

eine neue Bedeutung erhalten. Nun versteht man hier darunter jemanden, der arglistig in Systeme eindringt, um für sich selbst Gewinne zu erzielen. Technisch gesehen handelt es sich bei diesen Kriminellen eigentlich um

Cracker

(

Criminal Hackers

). Cracker dringen mit böswilligen Absichten in Systeme ein (oder cracken sie). Zu ihren persönlichen Zielen zählen Ruhm, Profit oder auch Rache. Sie ändern, löschen und entwenden kritische Daten und machen großen Einrichtungen und selbst Regierungen und Behörden das Leben schwer.

Es gibt noch weitere Bedeutungen von »Hacken«, weil dieser Begriff mittlerweile für allerlei andere Zwecke entfremdet wurde. Bei einer geht es einfach um das Modifizieren oder Umfunktionieren elektronischer Schaltungen oder auch von Programmen. Vom Sinn her also eigentlich einfach nur so etwas wie »Basteleien«. Wie dem auch sei, lassen Sie sich dadurch nicht verwirren oder auf den Holzweg bringen.

Die guten (White Hat) Hacker mögen es nicht, wenn sie in dieselbe Schublade wie die heimlich operierenden Hacker (Black Hat) gepackt werden. (Falls es Sie interessiert: Die Einteilung in White Hat (weißer Hut) und Black Hat (schwarzer Hut) stammt aus den alten Western im Fernsehen, in denen die Guten immer weiße und die Bösen immer schwarze Hüte getragen haben.) Gray-Hat-Hacker (Hacker mit grauen Hüten) gehören beiden Kategorien an. Heutzutage verbinden die meisten Menschen etwas Negatives mit dem Begriff Hacker.

Viele der bösartigen Hacker behaupten, niemanden zu schädigen, sondern anderen zum Wohle der Gesellschaft zu helfen. Wer's glaubt, wird selig. Heimlich vorgehende Hacker sind die Verbrecher des elektronischen Zeitalters, die die verdienten Konsequenzen für ihr Handeln tragen müssen.

Passen Sie auf, dass Sie nicht versehentlich kriminelle Hacker mit Sicherheitsbeauftragten verwechseln. Diese hacken nicht nur in ehrlichen Interessen, sondern entwickeln auch jene erstaunlichen Werkzeuge, die uns bei der späteren Arbeit unterstützen, stellen sich ihrer Verantwortung und sorgen dafür, dass ihre Ergebnisse und die Quelltexte ihrer Programme veröffentlicht werden.

»Böswillige Benutzer«

Bei böswilligen Benutzernund damit verbrecherischen Angestellten, Vertragspartnern, internen oder sonstigen Benutzern, die ihre Privilegien missbrauchen, handelt es sich um einen Begriff, der in Sicherheitskreisen und in Überschriften zum Thema Datendiebstahl gebräuchlich ist. Hierbei geht es nicht unbedingt um Benutzer, die interne Systeme »hacken«, sondern auch um jene, die ihre Zugangsberechtigungen missbrauchen. Benutzer schnüffeln in wichtigen Datenbanksystemen, um sensible Daten zu sammeln, senden vertrauliche Informationen über Kunden per E-Mail an die Konkurrenz oder ändern oder löschen wichtige Dateien von Servern, zu denen sie eigentlich keinen Zugriff haben dürften.

Mitunter gibt es unschuldige (oder unwissende) interne Mitarbeiter, die zwar keine böswilligen Absichten haben, aber trotzdem Probleme verursachen, weil sie sensible Daten verschieben, löschen oder ändern. Selbst unschuldige Wurstfinger auf der Tastatur können in der Geschäftswelt fatale Konsequenzen haben. Denken Sie an all diese Ransomware-Infektionen, von denen Unternehmen weltweit erpresst und zu Zahlungen gezwungen werden sollen. Zuweilen reicht ein einziger Klick eines unachtsamen Benutzers aus, um Netzwerke ganz oder teilweise lahmzulegen.

Häufig sind böswillige Benutzer die schlimmsten Feinde von IT- und Sicherheitsexperten, weil sie genau wissen, wo sie die wertvollen Daten finden können, und über kein besonderes Computerwissen verfügen müssen, um auf sensible Daten zugreifen zu können. Diese Benutzer besitzen die benötigten Zugangsberechtigungen und ihnen wird von der Geschäftsführung oft blind vertraut.

Und wie sieht es mit Edward Snowden, dem früheren NSA-Beschäftigten (National Security Agency) aus, der seinen Arbeitgeber verraten hat? Das ist ein kompliziertes Thema, auf das ich zusammen mit der Hacker-Motivation in Kapitel 2 eingehen werde. Was Sie auch von Snowden halten mögen, er hat seinen Arbeitgeber hintergangen und seine vertragliche Schweigepflicht gebrochen. Dasselbe ließe sich auch über andere Personen sagen, die aufgrund ihrer Bekanntheit auf einen Sockel gestellt werden.

Wie aus arglistigen Angreifern ethische Hacker werden

Sie müssen sich vor dem Hacker-Schwindel schützen. Sie benötigen einen ethischen Hacker (oder müssen selbst zu einem werden). Ethische Hacker besitzen die benötigten Fähigkeiten, Einstellungen und Werkzeuge eines Hackers, sind aber zudem vertrauenswürdig. Ethische Hacker hacken, um Sicherheitsprüfungen für ihre Systeme so vorzunehmen, wie böswillige Angreifer es wohl machen würden.

Beim ethischen Hacken, das auch als Schwachstellen- und Penetrationstests bekannt ist, werden dieselben Werkzeuge, Tricks und Techniken eingesetzt, die auch von kriminellen Hackern benutzt werden. Allerdings mit einem wesentlichen Unterschied: Ethisches Hacken erfolgt im professionellen Umfeld mit Genehmigung der »Opfer«. Dabei sollen Schwachstellen aus der Perspektive der Gauner aufgespürt werden, um Systeme besser sichern zu können. Schwachstellen- und Penetrationstests gehören zum Programm der Datenverarbeitung und des Risikomanagements, das der laufenden Verbesserung der Systemsicherheit dienen soll. Durch die Sicherheitstests lässt sich auch prüfen, ob Behauptungen von Herstellern hinsichtlich der Sicherheit ihrer Produkte wahr sind.

Ethisches Hacken im Vergleich zur Auditierung

Oft werden Sicherheitstests durch Schwachstellen- und Penetrationstests mit Sicherheitsüberprüfungen (Auditierung) verwechselt, aber da gibt es große Unterschiede. Zu Sicherheitsüberprüfungen gehört ein Vergleich der Sicherheitsrichtlinien von Unternehmen mit den aktuell gültigen Standards (oder Compliance-Anforderungen). Sicherheitsaudits werden durchgeführt, um zu prüfen, ob es Sicherheitskontrollen gibt, wobei üblicherweise risikobasierte Ansätze verfolgt werden. Häufig umfassen Sicherheitsüberprüfungen auch das Überdenken von Geschäftsabläufen, wobei die Abläufe nicht sonderlich technisch ausgerichtet sein müssen und einfach nur auf »Prüflisten für Sicherheitsfragen« basieren.

Im Gegensatz dazu konzentrieren sich Bewertungen auf der Grundlage von ethischem Hacken auf potenziell nutzbare Schwachstellen. Dabei wird nur geprüft, ob überhaupt Sicherheitskontrollen existieren und ob sie wenigstens effektiv sind. Diese formalen Schwachstellen- und Penetrationstests können einerseits sehr technisch sein, andererseits aber auch auf weniger technischem Niveau ablaufen. Und obwohl auch dabei formal vorgegangen werden muss, sind diese Tests tendenziell weniger strukturiert als formale Sicherheitsaudits. Wenn in Ihrem Unternehmen Audits (beispielsweise für die Zertifizierungen ISO 9001 und 27001) erforderlich sind, sollten Sie darüber nachdenken, die hier vorgestellten Schwachstellen- und Penetrationstests mit in den Auditierungsprozess aufzunehmen. Auditierung, Schwachstellen- und Penetrationstests ergänzen einander wirklich gut.

Wenn Sie für Kunden ethisch hacken und Tests durchführen oder Ihre Referenzen und Leistungsnachweise einfach nur um ein zusätzliches Zertifikat erweitern wollen, sollten Sie darüber nachdenken, im Rahmen des vom EC-Council gesponserten Programms zum Certified Ethical Hacker (C|EH) zu werden. Weitere Informationen hierzu finden Sie unter www.eccouncil.org.

Betrachtungen zu Richtlinien

Wenn Sie Schwachstellen- und Penetrationstests zu einem wichtigen Element des IT-Risikomanagements Ihres Unternehmens machen wollen, benötigen Sie unbedingt dokumentierte Richtlinien für Ihre Sicherheitstests. Diese beschreiben, wer die Tests durchführt, welcher Art die Tests generell sind, welche Systeme (Server, Webanwendungen, Laptops und so weiter) berücksichtigt werden und wie oft die Prüfungen vorgenommen werden sollen. Erstellen Sie Ablaufpläne und Vorgehensweisen für die in diesem Buch behandelten Sicherheitsprüfungen. Sie sollten auch über eine Dokumentation der jeweils verwendeten Testwerkzeuge nachdenken, in der diese beschrieben und in denen Termine für die Tests Ihrer Systeme vorgegeben werden. So könnte dort zum Beispiel stehen, dass externe Systeme vierteljährlich und interne Systeme halbjährlich getestet werden müssen.

Compliance und regulatorische Aspekte

Ihre eigenen internen Richtlinien schreiben vielleicht vor, wie mit Sicherheitstests in Ihrem Unternehmen umgegangen wird, aber Sie müssen auch Gesetze berücksichtigen, die speziell das Unternehmen betreffen. Viele dieser Vorschriften erfordern eine ständige Anpassung der eigenen Sicherheitsanforderungen. Dadurch, dass Ihr ethisches Hacken den jeweiligen Vorgaben folgt und an die staatlichen Anforderungen angepasst wird, lässt sich Ihr eigenes Programm gewaltig aufwerten.

Warum eigene Systeme hacken?

Um Diebe fangen zu können, müssen Sie wie Diebe denken. Diese Erkenntnis bildet auch die Grundlage für Schwachstellen- und Penetrationstests. Es ist extrem wichtig, den eigenen Feind zu kennen. Das Gesetz des Durchschnitts arbeitet der Sicherheit entgegen. Aufgrund der steigenden Anzahl der Hacker mit ständig wachsendem Wissen und der immer größer werdenden Zahl der Schwachstellen und Unbekannten werden schließlich wohl alle Computersysteme und Anwendungen irgendwie gehackt oder sind zumindest gefährdet. Es ist also ungeheuer wichtig, die eigenen Systeme vor Angreifern zu schützen – und zwar nicht nur jene Schwachstellen, die ohnehin jeder kennt. Wenn Sie die Tricks der Hacker kennen, können Sie die wirkliche Verletzlichkeit und Angreifbarkeit Ihrer Systeme ermitteln.

Hacken beutet schlechte Sicherheitsverfahren und offene Schwachstellen aus. Firewalls, Verschlüsselung und Kennwörter können für ein falsches Gefühl der Sicherheit sorgen. Die Sicherheitssysteme konzentrieren sich oft nur auf Schwachstellen der obersten Ebene wie der grundlegenden Zugangskontrolle, ohne die Arbeitsweise von Hackern zu berücksichtigen. Schwachstellen- und Penetrationstests bieten bewährte Methoden, um die eigenen Systeme gegen Angriffe zu wappnen. Wenn Sie die Schwachpunkte nicht identifizieren, ist deren Ausbeutung nur eine Frage der Zeit.

Und so, wie die Hacker ihre Kenntnisse erweitern, sollten Sie das auch tun. Sie müssen wie Hacker denken und arbeiten, um Systeme wirksam vor ihnen schützen zu können. Als ethischer Hacker müssen Sie wissen, welches Instrumentarium Hackern zur Verfügung steht, und Möglichkeiten kennen, die Angriffsbemühungen wirksam zu stoppen. Wenn Sie wissen, wonach Sie suchen müssen und wie Sie entsprechende Informationen nutzen, können Sie die Bemühungen von Hackern besser durchkreuzen.

Sie müssen Ihre Systeme nicht vor allem schützen. Das ist unmöglich. Dazu müssten Sie letztlich Ihre Computer abschalten und wegschließen und auch für sich selbst unzugänglich machen. Das ist hinsichtlich der Datensicherheit aber auch nicht gerade praktisch und wenig geschäftsfördernd. Wichtig ist der Schutz Ihrer Systeme vor bekannten Schwachstellen und den üblichen Angriffen, was in vielen Organisationen zu den am meisten übersehenen Schwachstellen zählt.

Sie können nicht alle möglichen Schwachstellen Ihrer Systeme und Geschäftsvorgänge vorhersehen. Sie können sich bestimmt nicht gegen alle möglichen Angriffe wappnen, insbesondere nicht gegen noch unbekannte Schwachstellen. Je mehr Möglichkeiten Sie aber probieren und je intensiver Sie ganze Systeme und nicht einzelne Geräte testen, desto wahrscheinlicher wird es, Schwachstellen zu entdecken, die Ihre kompletten Datenverarbeitungssysteme gefährden.

Treiben Sie das ethische Hacken nicht auf die Spitze. Es ist wenig sinnvoll, Ihre Systeme mit einem Schutzwall zu umgeben, der auch unwahrscheinlichste Angriffe erfasst.

Die Gefahren verstehen, denen Ihre Systeme ausgesetzt sind

Zu wissen, dass Systeme von Hackern weltweit und böswilligen Benutzern im eigenen Büro angegriffen werden können, ist eine Sache. Etwas anderes ist es, spezifische potenzielle Angriffe auf Ihr System auch zu verstehen. In diesem Abschnitt werde ich einige bekannte Angriffsmöglichkeiten vorstellen, ohne dabei Anspruch auf Vollständigkeit zu erheben.

Viele Schwachstellen sind im Bereich der Datensicherheit isoliert betrachtet nicht bedenklich. Wenn aber mehrere gleichzeitig ausgenutzt werden, können dadurch Systeme schwer gefährdet werden. So müssen Windows-Standardkonfigurationen, schwache Administratorkennwörter von SQL-Servern oder drahtlos verwaltete Netzwerkserver allein kein größeres Sicherheitsrisiko darstellen. Nutzen Hacker aber all diese Schwachstellen gleichzeitig aus, gelangen sie möglicherweise an sensible Daten und mehr.

Komplexität ist ein Feind der Sicherheit.

In den letzten Jahren hat die Anzahl der bekannten Schwachstellen und der Angriffe enorm zugenommen. Als wesentliche Ursachen dafür gelten die zunehmende Verbreitung von Virtualisierungslösungen, Cloud-Computing und soziale Netze. Diese führen zu äußerst komplexen modernen IT-Umgebungen.

Nicht-technische Angriffe

Unter Exploits versteht man Programme, die Sicherheitslücken in Computersystemen ausnutzen. Exploits, die Menschen – Endbenutzer und sogar Sie selbst – zu einem bestimmten Verhalten bewegen und damit manipulieren, stellen innerhalb der Computersysteme oder Netzwerkstrukturen die wohl größte Schwachstelle dar. Soziale Manipulationen (eigentlich Social Engineering) missbrauchen das Vertrauen von Menschen, um mit böser Absicht – zum Beispiel über Phishing-Mails – an Daten zu gelangen. In Kapitel 6 erfahren Sie mehr über Social Engineering und darüber, wie Sie Ihre Systeme davor schützen können.

Und dann gibt es noch gängigere Angriffsformen auf IT-Systeme auf physischer Ebene. Hacker brechen in Gebäude, Computerräume oder andere Bereiche ein, um an wichtige Daten zu gelangen, indem sie Computer, Server und andere wertvolle Geräte stehlen. (Oft reicht es aus, einfach in ein unverschlossenes Büro zu gehen und einen der dort herumstehenden, ungesicherten Laptops zu stehlen.) Zu diesen Angriffen zählt auch das sogenannte Dumpster Diving (wörtlich: Mülltauchen), also das Durchwühlen von Papierkörben und Mülleimern nach geistigem Besitz, Kennwörtern, Netzwerkdiagrammen und anderen Informationen.

Angriffe auf Netzwerkinfrastrukturen

Häufig ist es für Hacker leicht, die Infrastruktur von Netzwerken anzugreifen, weil diese vielfach weltweit über das Internet erreichbar sind. Beispiele für diese Art von Angriffen sind:

Verbindung mit einem Netzwerk über einen ungesicherten drahtlosen Zugriffspunkt (oder

Access Point

), der hinter einer Firewall hängt

die Schwächen von Netzwerkprotokollen wie TCI/IP oder SSL (Secure Sockets Layer)

ausnutzen

ein Netzwerk mit zu vielen Anforderungen überlasten, was zu

Dienstblockaden

und damit der Unerreichbarkeit von Diensten für rechtmäßige Benutzer führt (

DoS

– Denial of Service

)

in einem Netzwerk einen Netzwerkanalysator installieren und alle Pakete, die durch das Netzwerk reisen, abfangen und auf vertrauliche Informationen im Klartext untersuchen

Angriffe auf Betriebssysteme

Hacker greifen am liebsten Betriebssysteme (BS) an. Das liegt schon daran, dass alle Computer ein Betriebssystem benötigen und diese für viele bekannte Exploits anfällig sind, zu denen auch Schwachstellen zählen, die teilweise selbst nach Jahren nicht beseitigt wurden.

Gelegentlich werden auch Betriebssysteme angegriffen, die zwar im Lieferzustand – wie das reichlich alte, aber immer noch existierende Novell NetWare oder OpenBSD – von Haus aus sicherer zu sein scheinen als andere, aber doch auch Schwachstellen aufweisen. Hacker greifen aber bevorzugt Windows, Linux und/oder macOS an, weil diese viel weiter verbreitet sind.

Beispiele für Angriffe auf Betriebssysteme sind:

das Ausnutzen fehlender Aktualisierungen

Angriffe auf Authentifizierungssysteme der Betriebssysteme

Aushebeln der Sicherheitsfunktionen der entsprechenden Dateisysteme

Knacken von Kennwörtern und schwache Verschlüsselungsimplementierungen

Angriffe auf Anwendungen und spezielle Funktionen

Anwendungen stehen bei Hackern hoch im Kurs. Programme wie die Software von E-Mail-Servern und Webanwendungen werden oft Opfer der Angriffe und lahmgelegt:

Webanwendungen sind allgegenwärtig. Dank der

Schatten-IT

(

Shadow IT

), in deren Rahmen die Beschäftigten in verschiedenen Bereichen von Unternehmen eigene Technologien nutzen und verwalten, befinden sich Webanwendungen in allen Winkeln der internen Netzwerke und zunehmend auch in der Cloud. Leider sind sich viele IT-Sicherheitsprofis der vorhandenen Schatten-IT und ihrer Risiken kaum bewusst.

Apps von Mobilgeräten sind im geschäftlichen Umfeld verstärkt Angriffen ausgesetzt. Auch in offiziellen Anwendungsquellen (wie Google Play für Android) wurden längst von Gaunern programmierte Apps entdeckt, die Ihre Umgebung vor Herausforderungen stellen können.

Ungeschützte Dateien, die oft sensible Daten enthalten, befinden sich weit verstreut auf Freigaben von Arbeitsstationen und Servern oder auch in der Cloud auf öffentlichen Speicherangeboten wie OneDrive

oder Google Drive

. Datenbanksysteme enthalten viele Schwachstellen, die böswillig genutzt werden können.

Prinzipien bei Sicherheitsbewertungen

Sicherheitsprofis müssen dieselben Angriffe auf Computersysteme, vorhandene physische Kontrollinstrumente und Menschen ausführen wie böswillige Hacker. (Ich habe diese Angriffe im vorherigen Abschnitt vorgestellt.) Das Ziel von Sicherheitsprofis besteht dabei darin, erkannte Schwachstellen aufzuzeigen. In den Teilen II bis V dieses Buches werden derartige Angriffe behandelt und Gegenmaßnahmen vorgestellt, die Sie ergreifen können.

Um dafür zu sorgen, dass geeignete Sicherheitstests professionell durchgeführt werden, müssen Sicherheitsprofis die in den nächsten Abschnitten beschriebenen grundlegenden Prinzipien beachten.

Falls Sie die Gebote ethischen Hackens nicht befolgen, kann das ziemlich negative Konsequenzen haben. Ich habe selbst erlebt, wie diese Regeln beim Durchführen von Sicherheitstests vergessen oder ignoriert wurden. Die Ergebnisse waren nicht positiv – glauben Sie mir.

Ethisch arbeiten

In diesem Kontext bedeutet ethisch, sich an professionellen Moralvorstellungen und Prinzipien zu orientieren. Ob es nun um Sicherheitstests bei eigenen Systemen oder Auftragsarbeiten geht, Sie müssen immer ehrlich bleiben und die Unternehmensziele unterstützen. Versteckte Absichten bleiben außen vor! Dazu zählt auch, Ergebnisse immer rückhaltlos darzulegen, selbst wenn Ihnen daraus Nachteile entstehen könnten. Lachen Sie nicht, bei zahlreichen Gelegenheiten konnte ich beobachten, wie Leute Sicherheitsschwachstellen ignoriert haben, weil sie für keinen Aufruhr sorgen oder Auseinandersetzungen mit schwierigen Vorgesetzten oder Verkäufern vermeiden wollten.

Vertrauenswürdigkeit lautet der oberste Grundsatz. Sie stellt auch die beste Möglichkeit dar, um Mitarbeiter von Ihrem Sicherheitsprogramm auf Dauer zu überzeugen. Datenmissbrauch ist absolut verboten. So würden Übeltäter vorgehen. Sollen sie mit ihrer getroffenen Wahl doch Geldstrafen kassieren oder in den Knast wandern. Vergessen Sie nicht, dass Sie sich ethisch korrekt verhalten und dennoch nicht vertrauenswürdig sein können. Dasselbe gilt auch umgekehrt, und damit würden Sie den Spuren von Edward Snowden folgen. Derartige Schwierigkeiten sind Bestandteil der Herausforderungen Ihres Sicherheitsprogramms. Ich beneide Sie angesichts dieser komplexen Aufgabe nicht.

Die Privatsphäre respektieren

Behandeln Sie die gesammelten Daten mit allergrößtem Respekt. Alle Informationen, die Sie bei Ihren Tests erhalten, von Protokolldateien der Webanwendungen über Kennwörter im Klartext bis hin zu persönlichen Daten und allem, was es sonst noch gibt, müssen privat bleiben. Schnüffeln Sie nicht in vertraulichen Firmendaten oder dem Privatleben der Beschäftigten herum. In Deutschland gilt es die seit Mai 2018 gültige Datenschutz-Grundverordnung (DGSVO) zu beachten.

Sorgen Sie für Zeugen und binden Sie andere in den Prozess mit ein. Wenn Sie selbst beaufsichtigt werden, sorgt das für mehr Vertrauen und Unterstützung für Ihre Projekte zur Sicherheitsbewertung.

Bringen Sie Ihre Systeme nicht zum Absturz

Einer der größten Fehler, der beim Hacken von Systemen auftritt, besteht darin, eigene Systeme versehentlich zum Absturz zu bringen, die es eigentlich zu schützen gilt. Zu Systemabstürzen kommt es heute zwar weniger häufig als früher. Treten sie doch auf, liegt das meist an schlechter Planung oder der Auswahl ungeeigneter Zeitpunkte für die Tests.

Auch wenn es nicht sonderlich wahrscheinlich ist, können für Ihre Systeme beim Testen DoS-Bedingungen entstehen. Bei DoS (Denial of Service) kann ein Server die Anforderungen nicht mehr zügig verarbeiten. Durch zu viele, zu schnell ausgeführte Tests kann es dann zu Systemaussetzern, Datenschäden, Systemneustarts und so weiter kommen. Das gilt insbesondere beim Testen von Webseiten und (anspruchsvollen) Webanwendungen auf älteren Servern. (Ich sollte das wissen, denn es ist mir passiert.) Sie sollten jedenfalls nicht gleich loslegen und dabei annehmen, dass irgendein Host dem möglichen Ansturm der Werkzeuge für das Netz und die Schwachstellenscanner gewachsen ist.

Sie können auch versehentlich Konten dauerhaft oder vorübergehend sperren oder jemanden aus sozialen Netzen aussperren, wenn Sie jemanden dazu veranlassen, Passwörter zu ändern, ohne dass dieser die Konsequenzen derartiger Aktionen erkennt. Gehen Sie die Dinge mit Vorsicht und gesundem Menschenverstand an. Es ist aber immer besser, vorhandene Schwachstellen vor Dritten zu entdecken.

Bei vielen Programmen für die Suche nach Schwachstellen können Sie steuern, wie viele Tests auf einem System gleichzeitig ausgeführt werden. Derartige Einstellungen sind besonders dann äußerst praktisch, wenn Tests auf Produktivsystemen während der Bürozeiten durchgeführt werden müssen. Schalten Sie bei Ihren Tests lieber einen Gang herunter. Dann benötigen Tests zwar mehr Zeit, das kann Ihnen aber viel Ärger ersparen.

Die Arbeitsabläufe bei Schwachstellen- und Penetrationstests

Wie eigentlich alle IT- oder Sicherheitsprojekte muss ethisches Hacken geplant werden. Ich habe bereits darauf hingewiesen, dass versäumte Planung leicht zum Scheitern der Tests führt. Mittel- und langfristige Aspekte der Testprozesse müssen festgelegt und vereinbart werden. Damit der Erfolg Ihrer Anstrengungen auch gewährleistet ist, sollten Sie sich vor den eigentlichen Tests die Zeit nehmen, die kompletten Tests vorab zu planen. Dabei spielt es keine Rolle, ob es nur um das einfache Knacken eines Kennworts oder komplexe Tests auf Schwachstellen in Webanwendungen geht.

Wenn ein »geläuterter« Hacker die Tests mit Ihnen zusammen durchführen soll oder Sie seine unabhängige Meinung einholen wollen, sollten Sie vorsichtig sein. Ich behandele in Kapitel 19 die Vor- und Nachteile der Zusammenarbeit mit angestellten personellen Sicherheitsressourcen und was Sie dabei tun oder besser lassen sollten.

Die Planformulierung

Für ethisches Hacken benötigen Sie unbedingt entsprechende Genehmigungen. Sorgen Sie dafür, dass Ihre Aktivitäten zumindest für Entscheidungsträger bekannt und transparent sind. Zunächst einmal muss das Projekt unterstützt werden. Für die Unterstützung können Unternehmensleitung, Vorgesetzte, Kunden oder vielleicht sogar Sie selbst (als Ihr eigener Chef) sorgen. Sie benötigen jemanden, der sich für Sie einsetzt und Ihre Pläne genehmigt. Anderenfalls kann es passieren, dass Ihre Tests ein unerwartetes Ende finden, weil jemand behauptet, Sie hätten dafür keine Genehmigung. Schlimmer noch, Sie werden vielleicht gefeuert oder strafrechtlich verfolgt!

Bei eigenen Systemen kann es sich bei Genehmigungen um einfache interne Nachrichten oder E-Mails vom Chef handeln. Bei Tests im Kundenauftrag sollten Sie sich durch unterschriebene Verträge absichern. Mit schriftlicher Bestätigung besteht zudem kaum mehr Gefahr, dass Sie Ihre Zeit und Mühe nur vergeuden. Ein solches Dokument befreit Sie auch aus dem Gefängnis, wenn sich jemand (zum Beispiel Internet-Dienstanbieter, Cloud-Anbieter oder Dienstleister) fragen sollte, was Sie eigentlich treiben, und die Polizei alarmiert. Lachen Sie jetzt nicht, es wäre nicht das erste Mal.

Bereits ein kleiner Ausrutscher kann Ihre Systeme komplett abstürzen lassen, was sicherlich nicht gerade erwünscht ist. Sie benötigen detaillierte Pläne, was aber auch nicht bedeuten muss, dass Sie alles übermäßig komplex werden lassen. Sorgfältig ausgearbeitete Rahmenpläne enthalten die folgenden Angaben:

Liste der zu testenden Systeme:

Was die Auswahl der zu testenden Systeme angeht, beginnen Sie mit den wichtigsten Systemen und Abläufen oder den Systemen, von denen Sie vermuten, dass sie besonders verletzlich sind. Sie können zum Beispiel die Sicherheit der Kennwörter eines Serverbetriebssystems oder eine über das Internet erreichbare Webanwendung testen oder soziale Manipulationen versuchen. Vielleicht versuchen Sie ja auch, mit E-Mail-Phishing

Daten abzugreifen, bevor Sie auf tieferen Systemebenen mit der Schwachstellensuche beginnen.

Auftretende Risiken: Halten Sie beim ethischen Hacken Notfallpläne für den Fall bereit, dass etwas schiefgeht. Was passiert, wenn Sie sich mit der Firewall oder einer Webanwendung befassen und diese lahmlegen? Dann werden Systeme vielleicht unerreichbar, was wiederum die Leistung der anderen Systeme und/oder die Produktivität von Mitarbeitern negativ beeinflussen kann. Schlimmer noch, dabei könnten Daten verschwinden oder beschädigt werden, wovon Ihr Ruf nicht gerade profitiert. Und es verärgert bestimmt die eine oder andere Person und hinterlässt keinen sonderlich guten Eindruck. All dies birgt unternehmerische Risiken. Nutzen Sie keine Werkzeuge aus unbekannten Quellen. Testen Sie Werkzeuge vorher unter Laborbedingungen.

Gehen Sie bei sozialen Manipulationsversuchen und DoS-Angriffen vorsichtig vor. Ermitteln Sie vorher, wie sie sich auf die zu testenden Systeme auswirken.

Termine für die Tests und deren zeitliche Abläufe: Terminpläne erfordern Sorgfalt und sollten gründlich überlegt werden. Führen Sie die Tests während der normalen Geschäftszeiten durch? Sollten sie spät in der Nacht, in den frühen Morgenstunden oder am Wochenende stattfinden, um keine Produktivsysteme zu beeinträchtigen? Binden Sie andere Personen ein, um dafür zu sorgen, dass Ihre Terminplanung auch die notwendige Zustimmung findet.

Sie können auf Widerstände und DoS-Probleme stoßen. Den besten Ansatz bieten aber unbeschränkte Angriffe, bei denen an beliebigen Terminen beliebige Tests gefahren werden können. Missetäter greifen Systeme schließlich auch nicht nur zu bestimmten Zeiten an. Diese Vorgehensweise unterliegt aber einigen Ausnahmen: soziale Manipulationen, DoS-Angriffe und Geräte selbst betreffende Sicherheitstests.

Eigene Entdeckung:

Eine der Zielsetzungen könnte darin bestehen, bei den Tests unentdeckt zu bleiben. Sie könnten Ihre Tests beispielsweise von anderen Standorten aus durchführen. Ansonsten werden Benutzer und das IT-Team versuchen, sich vorbildlich zu verhalten oder Sie möglicherweise sogar zu stellen. Normales Verhalten sieht jedenfalls anders aus.

Aktive Sicherheitskontrollen:

Ein wichtiger, aber häufig übersehener Aspekt besteht darin, ob Sicherheitskontrollen wie Firewalls, IPS-Systeme (Intrusion Prevention System) und WAFs (Web Application Firewalls) aktiviert bleiben sollen, um Suchvorgänge und Exploits blockieren zu können. Wenn diese Kontrollen aktiviert bleiben, erhält man ein Bild vom wirklichen Stand der Dinge im praktischen Einsatz. Für mich war es allerdings sehr viel wertvoller, wenn derartige Kontrollen deaktiviert wurden (oder der eigenen IP-Adresse ungehinderter Zugang eingeräumt wurde), um einen Blick hinter den Vorhang werfen und möglichst viele Schwachstellen erkennen zu können. Viele Kunden werden ihre Sicherheitskontrollen aktiviert lassen wollen. Bei dieser Vorgehensweise stehen sie ja schließlich auch besser da, weil dann wahrscheinlich viele Sicherheitsprüfungen blockiert werden. Für mich ist dieser Ansatz mit eingeschalteten Abwehrmaßnahmen zwar auch in Ordnung, kann aber auch zu einem falschen Eindruck von der Sicherheit führen. Möglicherweise wird nicht das ganze Bild der Organisation und dessen Haltung in Sicherheitsfragen wiedergegeben.

Kenntnisse über die Systeme vor Beginn der Tests: Sie müssen die zu testenden Systeme nicht umfassend kennen, sollten sie aber grundlegend verstehen. Das reicht aus, um sich selbst und die zu testenden Systeme schützen zu können. Bei eigenen Systemen oder die des eigenen Unternehmens sollte das nicht allzu schwierig sein. Bei Kundensystemen müssen Sie vielleicht ein wenig tiefer graben. Ich selbst hatte bisher jedenfalls nur ein oder zwei Kunden, bei denen ich die Systeme völlig »blind« begutachten sollte.

IT-Manager und Sicherheitsverantwortliche mögen derartige Untersuchungen meist nicht, weil sie länger dauern, mehr kosten und weniger effektiv sind. Sorgen Sie dafür, dass anstehende Tests den Anforderungen des Unternehmens oder der Kunden gerecht werden.

Zu ergreifende Aktionen bei Entdeckung größerer Schwachstellen:

Hören Sie nicht gleich auf, wenn Sie die eine oder andere Sicherheitslücke gefunden haben. Fahren Sie fort, um festzustellen, was es noch zu finden gibt. Sie sollen nicht bis ans Ende aller Tage oder bis zum Zusammenbruch aller Systeme testen. Folgen Sie einfach dem eingeschlagenen Pfad, bis weitere Tests nicht mehr sinnvoll sind. Wenn Sie keine Schwachstellen finden können, haben Sie nicht intensiv genug gesucht. Die eine oder andere Schwachstelle gibt es immer. Wenn Sie große Probleme entdecken, müssen Sie das schnellstmöglich den wichtigen Personen (Entwicklern, Administratoren, IT-Managern und so weiter) mitteilen, um die Lücke zu beseitigen, bevor sie ausgenutzt werden kann.

Ergebnispräsentation:

Dazu gehören Berichte über die Suche nach Schwachstellen und ausführliche Berichte über die wichtigen Schwachstellen und entsprechende Gegenmaßnahmen, die es zu implementieren gilt.

Die Auswahl von Werkzeugen

Wenn Sie beim ethischen Hacken keine geeigneten Werkzeuge nutzen, werden Sie kaum befriedigende Resultate erzielen können. Womit nicht gesagt ist, dass Sie bei Einsatz passender Werkzeuge alle Schwachstellen finden. Die Erfahrung zählt.