Criminal aspects of IT-Security

Cybercrime und Überwachung

2010-05-31T21:16:00.002+02:00

Oft wird in der totalen Überwachung von potentiellen Kriminellen ein Allheilmittel gesehen. Dies ist ein fataler Trugschluss und kann sogar zum Nutzen der Kriminellen sein. Es kommt auch vor, dass unschuldige Menschen überwacht werden nur weil sie in ein Profil passen. Profiling beruht immer nur auf Wahrscheinlichkeiten. Deshalb können gängige Profilingmuster auch manipuliert werden und es ist teilweise sogar möglich die Ermittlungen zu beeinflussen und im schlimmsten Fall einen Unschuldigen ins Visier von Ermittlern zu bringen. Folgende Methoden haben sich in kriminellen Kreisen als effektiv erwiesen:

* Vortäuschen von Handlungen und Kriminaldelikten um die Ermittlungen zu beeinflussen

Ein Krimineller kann so tun, als ob er gewissen Netzwerke oder Personen angreift bzw. Informationen mit ihnen austauscht. Die Ermittler verfolgen diese Spuren und haben einen großen Aufwand zwischen wahren und falschen Spuren zu unterscheiden. Die Manipulations-Systeme, welche sich ein Krimineller ausdenkt können je nach krimineller Intelligenz enorm komplex sein. Der Kriminelle hat zudem den Vorteil, dass er sein System und alle Einzelheiten kennt und die Ermitler erst durch Aufwändige Analysen den Sinn hinter diesen Handlungen festellen müssen.

* Miteinbeziehen von Personen, welche mit den Taten von Kriminellen nichts zu tun haben

Zum Beispiel durch Identitätsdiebstahl oder durch Aufhalten in anderen kriminellen Kreisen um Verwirrung zu stiften. Verwenden von bestimmten Codierungen in Kleidung, Sprache und Verhalten, welche in kriminellen Kreisen üblich sind.

* Überwachen und aufspüren von Ermitlern durch deren Tätigkeiten

Ein Krimineller kann zum Beispiel ein Computernetzwerk einrichten, welches falsche Daten und Informationen enthält, Weiters ist es auch möglich Honeypots zu verwenden um die Identität der Ermitler festzustellen.

Zusammengefasst: Die gleichen Methoden welche Ermittler anwenden können auch von Kriminellen verwendet werden. Sie kämpfen mit den gleichen Methoden gegeneinander. Der Ermittler hat den Nachteil, dass er sich an das Gesetz halten muss. Die meisten Informationen, welche durch Ermittlungen gewonnen werden dürfen nicht vor Gericht verwendet werden. Was kann ein Ermittler tun, um nicht in zu große Verwirrung zu geraten?

* Sich an die Fakten und Tatsachen halten und nicht jeder Spur nachgehen
* Mutmaßungen und Profiling-Analysen niemals absolut setzen
* Davon ausgehen, dass der zu überwachende Unschuldig ist, bis ein forensischer Beweis vorliegt

Sonst ist der Ermittler gefährdet, sich in einem Gemisch aus Mutmaßungen, Hypothesen und Profiling-Analysen zu verlieren.

Es ist auch möglich, dass ein Krimineller sein eigenes Profil und Erscheinungsbild je nach Situation ändert. In der Praxis wird ein Profil erstellt und eine Person ausgesucht, welche dem kriminellen sympathisch erscheinen lässt. Dieser wird zu seiner Vertrauensperson um an verborgene Informationen zu gelangen. Was ist, wenn der kriminelle eine Identität nur vorgetäuscht hat, oder seine Ientitäten sich andauernd ändern? Der Kriminelle besitzt dann geheime Informationen und die Identität des Ermittlers, wenn es zu einem persönlichen Kontakt kommt. Aus diesen und zahlreichen anderen Informationen kann sich der Kriminelle ein gutes Bild über den derzeitigen Stand der Ermittlungen machen. Er kann auch berechnen wann es günstig ist eine Tat durchzuführen und welches Risiko damit verbunden ist. Dies ist nur ein Beispiel von hunderten, welches auch in der Praxis verwendet wird.

Die Kunst der Exploitentwicklung

2010-03-19T19:55:00.002+01:00

Exploits sind Programme, welche es ermöglichen Sicherheitslücken auszunutzen. Diese Tätigkeit ist eine Art Kunst und Wissenschaft zugleich. Eine Kunst, weil es Kreativität erfordert und Wissenschaft, weil es beim praktischen Entwickeln von Exploits andauernd zur Entdeckung neuer Möglichkeiten kommt. Einige Phrack-Artikel zum Thema Exploit-Development zeigen diese Entwicklung beim Exploits schreiben. Die Phasen einer Exploits-Entwicklung sind grob zusammengefasst folgende:

* Reproduzierbarkeit der Schwachstelle. Wird meistens mit einem Proof of Concept Code realisiert,
welcher die Schwachstelle triggert.

* Danach wird das ganze in einem Debugger analysiert. Dabei sucht man einfach nach allen gängigen Möglichkeiten um das was man überschreiben kann zum ausführen von Code zu verwenden.

* Bei einem Speicherschutz, welcher das direkte hineinhüpfen in den Shellcode verhindert müssen alternativen gesucht werden wie Return into Library oder ähnliches.

* Ab diesem Zeitpunkt fängt die Kreativität an. Beim praktischen Exploiten in realen Umgebungen funktionieren die meisten Standardprinzipien nicht mehr, welche man aus diversen Papers kennt.

* Deshalb wird individuell alles was man hat an Instructions, Code, Libraries, individuelle Speicherstruktur des aktuellen Zustandes usw. durchforstet um Techniken zu realisieren um trotzdem Code ausführen zu können.

* Oft sind zufällig ret, jmp oder ähnliche Instructions vorhanden, welche aneinandergekettet es auf Umwegen ermöglichen trotzdem etwas auszuführen. Auch verschiedene Fähigkeiten des Betriebssystemes, der CPU oder des Programmes können genutzt werden (SEH zum Beispiel).

* Meistens muss man den Shellcode noch so anpassen, dass er auch nützliche Daten enthält, weil oft Zeichen während des Programmablaufes verändert werden. Das alles in Kombination macht es zu einer Kunst und Wissenschaft zugleich.

* In der Praxis wird dann alles Schritt für Schritt mit dem Debugger durchgestept um letztendlich zu etwas funktionierendem zu kommen.

* Für kompliziertere Exploits muss man sich oft etwas neues ausdenken. Die vielen Papers bieten zwar einiges an Anregung. Die Praxis braucht aber trotzdem meist ein individuelles vorgehen.

* Exploit coden kann man nicht lernen wie andere Dinge, weil es Kreativität erfordert und so etwas nicht auswendig gelernt werden kann bzw. reine Übung dafür ausreicht.

Gut organisierte kriminelle Organisationen mit Hackern haben solche Leute angestellt, welche nach Zero-Day Sicherheitslücken suchen und diese auch in der Praxis einsetzen. Das Talent so etwas zu realisieren besitzen nur wenige. Schätzungsweise sind es um die 1000 Hacker mit solchen Fähigkeiten. Man kann davon ausgehen das zirka ein Drittel davon ihr Wissen für kriminelle Akte nutzen bzw. ihre Entwicklungen an andere kriminelle weitergeben. Das bedeutet es gibt eine Blackhat-Hacker Elite welche eine große Gefahr darstellt. Ein so ein einziger Exploit verpackt in einen Wurm zur Gewinnung von Botnets und dergleichen kann unzählige Millionen Euro/Dollar schaden anrichten.

Kodierte Handlungen in der krininellen Praxis

2010-01-26T19:56:00.005+01:00

In kriminellen Organisationen kurz KO wird die Sprache, Körpersprache, Kleidung und das Äußere allgemein oft dazu benutzt Botschaften zu übermitteln. Faktoren wie Stimmlage, Blick, Stimmhöhe, Gestik und Mimik spielen oft eine wesentliche Rolle. Oft reicht schon ein Blick um jemandem anzudeuten was er zu tun hat. Der negative Vorteil dieser Form der Kommunikation ist es, dass solche Kodierungen kaum Gerichtsverwertbar sind. Diverse kriminelle Handlungen können auf diese Art und Weise mittels Triggern an andere weitergeleitet werden. Folgend ein paar abstrakte Beispiele:

* Blaues Hemd bedeutet Handel mit Kokain
* Swatch Uhr bedeutet zusammenschlagen eines Rivalen
* Freundliches auftreten bedeutet Bankraub durchführen
* Mit ängstlicher Stimme reden bedeutet Menschenhandel
usw.

Für die Bekanntmachung von Detailinformationen wird des öfteren eine verzerrte Redeweise verwendet. Es wird ein Thema derart umschrieben, dass es nur einen Rückschluss zuläßt. Oft sind solche Gespräche in anscheinend ganz allgemeine belanglose Gespräche mit eigener Kodierung gepackt. Gespräche in dieser Form sind meistens auch nicht Gerichtsverwertbar, da es sich nach außen hin wie ein ganz normales Gespräch anhört.

Für exakte Detailinformationen wie Namen von unbekannten Personen, Straßennamen, Passwörter und ähnliches hat sich das Aufschreiben auf einen Zettel mit anschließendem Verbrennen als effektiv erwiesen. Diese Form der Kommunikation ist teilweise verwertbar, wenn diese auf Video aufgezeichnet wird. Aus diesem Grund kommen oft Mischformen der genannten Methoden zur Anwendung um die Möglichkeit einer Gerichtsverwertbarkeit zu reduzieren.

Die Kombination der genannten Methoden und die kriminelle Intelligenz, welche in KO oft herrschen bereiten den Ermittlungsbehörden und Privatdetektiven oft große Schwierigkeiten Beweise zu sammeln, da Anführer von KO meist für Ihre Instruktionen nicht haftbar gemacht werden können. Wenn ein Verbrechen bewiesen werden kann, dann betrifft es meist nur den Täter und nicht den Auftraggeber der Tat.

Im Bereich der Internetkriminalität kommen ähnliche Verfahren zur Anwendung, welche unter dem Begriff Social-Engineering zusammegefasst werden. Die Möglichkeit derzeit unknachkbarer Verschlüsselung für jeden und die Verschleierungsmöglichkeiten und Anonymität über Ländergrenzen hinweg bieten neue Dimensionen der Kriminalität, welche Gott sei Dank derzeit noch nicht voll ausgeschöpft werden. Es ist aber leider nur eine Frage der Zeit bis dieses Potential auch in deutschsprachigen Ländern zum Einsatz kommt.

Forensik in Österreich

2010-01-23T10:18:00.003+01:00

Beim Sammeln von forensischen Beweisen werden oft zahlreiche Fehler gemacht, welche es Kriminellen leicht macht ihre Spuren zu verwischen. Meistens wird ein USB-Stick direkt am betroffenen PC angeschlossen um nach Beweisen zu suchen. Als Programme zur Beweissicherung werden Standardprogramme verwendet, welche Hacker schon seit langer Zeit umgehen können mittels Antiforensik Methoden. Es existieren sogar schon fertige Antiforensik Toolkits, welche es sogar Laien erlauben ihre Spuren unkenntlich zu machen. Es benötigt nicht einmal ein Spezialwissen um kriminelle Akte mittels dem Computer zu tätigen, welche nicht aufgedeckt werden können. Man versucht die Kriminalität mittels Falschmeldungen zu bekämpfen, was sehr Kontraproduktiv ist. Kaum ein Hacker hat Angst vor irgendwelchen Bundestrojanern und einer angeblichen Rekonstruierung aller Daten auf Computern, welche es nicht geben kann. Kriminalität bekämpft man nicht durch Märchen oder durch Panikmache. Die Ehrlichkeit und einen Wachsamen technischen Standpunkt zu vertreten wäre viel effektiver. Kriminelle wie Ermittlungsbehörden kochen nur mit Wasser. Leider sind Kriminelle meistens überlegen was der gut funktionierende Datenaustausch und der Handel mit Kinderpornografie traurigerweise unter Beweis stellt. Ähnlich wird versucht das Raubkopieren von Filmen mittels Werbespots und einer eingeblendeten IP-Adresse im Spot zu bekämpfen. Die Praxis zeigt wie Wirkungslos solche Methoden sind. Mittels TOR/JDON/Proxychaining und unzähligen anderen Methoden gehen Täter schon seit langem vor um ihre IP-Adresse zu verschleiern und das mit großem Erfolg. Die meisten Täter im IT Bereich werden in Österreich gefasst, weil sie gestehen und nicht weil sie mittels Beweisen überführt werden. Dieser traruige Umstand wird noch lange fortdauern, wenn nicht bald eine Neuorientierung stattfindet.

Profiling in der Praxis

2010-01-21T11:47:00.003+01:00

Beim Profiling werden alle Daten gesammelt, welche sich auftreiben lassen über eine Person oder Gruppe. Aus diesen Daten versucht man Rückschlüsse zu ziehen. Um so mehr Daten um so besser. Ein praktisches Beispiel für relevante Daten:

* Welche Gewohnheiten besitzt ein Mensch
* Welchen Beruf hat er
* Alter, Größe, Abstammung
* Zugehörigkeit zu Gruppierungen (Religiös, Politisch, ...)
* Vorlieben für Musik, Filme, Internetseiten
* Kleidung, Äußeres Auftreten
* Typische Verhaltensmuster
* Lebenslauf
uvm.

Die forensische Psychologie, Kriminologen bzw. der Profiler versuchen anhand dieser Daten Rückschlüsse zu ziehen. Es gibt verschiedene Muster nach welchen Personen eingeteilt werden. Die Kehrseite dieser Muster ist es, dass diese von intelligenten Kriminellen genutzt werden können um ein falsches Profil zu hinterlassen. Praktische Beispiel:

Ein überwachter Krimineller will den Eindruck erwecken er sei ein Alkoholiker. Er geht jeden Tag in eine Bar und trinkt in der Früh ein Bier. Zu Mittag geht er jeden Tag Bier kaufen. Aus diesem Grund fällt er in das Muster Alkoholabhängigkeit. Nach Gewisser Zeit entsteht ein falsches Bild über ihn und das weiß ein intelligenter Krimineller. Er kann sein Verhalten immer so anpassen, damit ein falsches Bild entsteht.

Ein weiterer Fehler von Profilern ist es zu behaupten, dass Ihre Annahmen absolut sind. Ein Profiling auch wenn es noch so gut durchgeführt wird besteht immer nur auf Annahmen und Wahrscheinlichkeiten. Durch das Absolut setzen kann es leicht vorkommen, das unschuldige Menschen in eine Überwachung geraten und gegebenenfalls als Terroristen und ähnliches abgestempelt werden. Aus diesem einfachen Grund löst die totale Überwachung nicht das Problem der Kriminalität. Sie kann sogar ein Nutzen für intelligente Kriminelle werden.

Das Märchen von der Datenrettung

2009-12-21T07:40:00.002+01:00

Des öfteren wird von Institutionen behauptet, es ist möglich alle Daten auf einen Computer zu rekonstruieren, auch wenn diese sorgfältig gelöscht worden sind. Ähnliches wird behauptet beim verfolgen von Spuren im Internet oder Emails. Dies sind bewußte Falschaussagen, bei welchen jeder Fachmann den Kopf schütteln muss. Es wird auch Panik vor einem Bundestrojaner gemacht, welcher bis heute nicht wirklich existiert. Zahlreiche angebliche Hacker-Pressemeldungen erscheinen nur um Verunsicherung zu stiften. Solche und viele andere Methoden werden verwendet um Kleinstkriminelle und Skript-Kiddies in Angst und schrecken zu versetzen. Diese Methodik ist eher unproduktiv, da es unehrlich und technisch falsch ist. Damit macht man sich auch unglaubwürdig. Wie glaubwürdig ist eine Institution, welche andauernd unqualifizierte Falschmeldungen macht? Konstruktiver währe es auf dem Boden der Tatsachen zu bleiben und Aussagen zu tätigen wie: "Es gibt diverse Methoden um Daten zu rekonstruieren, aber bei sorgfältiger Löschung und Vernichtung der Daten ist eine Rekonstrutkion ausgeschlossen, ... und ähnliches. Solche Aussagen wird man selten zu Ohren bekommen.

Warum es kaum möglich ist Cyberkriminelle zu fassen

2009-12-18T18:17:00.002+01:00

Kriminelle können auch kriminelle Taten vollbringen. Dieses Mittel steht Strafermittlungsbehörden nicht zur Verfügung. Diese müssen sich an Gesetze und Regeln halten. Verdecktes ermitteln von kriminellen Organisationen funktioniert nicht, da für die Aufnahme in eine Organisation ein nachweisbares Kriminaldelikt vom Spion gemacht werden muss. Viele denken sich, dass die totale Überwachung ein Mittel ist um Kriminelle zu stoppen. Dies ist ein Märchen, welches sogar ein großer Vorteil für die Kriminellen ist. Ein Vorteil deshalb, weil es dadurch leicht möglich ist die Ermittler in die Irre zu führen und falsche Spuren zu legen. Viele Unternehmen und Behörden glauben es kann Ihnen deshalb nicht viel passieren. Die Überwachungssysteme der Ermittler sind den Cyberkriminellen bekannt. Auch jede Handlung, welche ein Forensiker der Behörden durchführt, die möglichen Überwachungen usw. Ein Cyberkrimineller oder eine kriminelle Organisation macht den ganzen Tag meist nichts anderes wie sich mit solchen Dingen zu beschäftigen. Wenn irgend welche Hacker gefasst werden, dann meist solche welche nicht viel mit aktiver und zielgerichteter Kriminalität zu tun haben wie einen Ufo-Hacker, Kevin-Mitnick oder Mixter. Diese werden dann als Kriminelle dargestellt. Einen Kevin-Mitnick hat man sogar als den schlimmsten Cyberkriminellen bezeichnet. Die wirkliche Kriminalität findet im verborgenen statt und die öffentliche Presse will darüber nicht viel wissen. Einen Ufo-Hacker als Terroristen darstellen ist einfacher als sich mit der wahren Cyberkriminalität zu befassen.

Typische Fehler von IT-Kriminellen

2009-12-07T17:48:00.002+01:00

Warum werden trotzdem manchmal Hacker gefasst, wenn diese so klug sind? Meist sind es folgende Faktoren:

* Psychische Belastung, welche einen Täter dazu bringen grobe Fehler zu begehen.
* Rauswurf bzw. "Entsorgung" aus einer kriminellen Organsisation.
* IT-Fremde Kriminaldelikte auf welche der Täter nicht spezialisiert ist.
* Ungünstiges Verhalten bei Polizeiverhören bzw. vor Gericht.
* Geldnot und Verzweiflung bzw. Verzweiflungstaten.

Nicht selten halten Kriminelle den Druck nicht mehr aus, welcher ein Leben in Verfolgung mit sich bringt. Kriminelle bekommen des öfteren psychische Probleme, welchen oft mittels Drogen und anderen schlechten Mitteln begegnet wird. Diese Probleme und Fehler werden dann gezielt von den Strafermittlungsbehörden bzw. den Profilern genutzt um den Täter in eine Falle zu locken.

Die meisten Täter, welche gefasst werden sind allerdings Grayhats, welche selten kriminelle Interessen verfolgen. Ein UFO-Hacker oder Kevin Mittnick gehören zum Beispiel nicht zu den typischen Blackhat-Hackern, welche eine gezielte kriminelle Strategie verfolgt haben. Auch nicht die vielen Wurm bzw. Virenprogrammierer. Sie verfolgen meist ideologische Ziele. Wie oft liest man in den Medien, dass ein Botnetz-Anbieter, Spammer oder Geldwäscher gefasst worden ist?

Talente krimineller Hacker

2009-12-04T22:34:00.002+01:00

Es gibt gewisse Talente und Fähigkeiten, welcher jeder Blackhat in besonderer Weise besitzt. Das Grundgerüst ist eine hohe kriminelle Intelligenz. Blackhats beschäftigen sich großteils mit Informatik und Kriminalität. Ein Blackhat erkennt sehr schnell wie sich etwas in krimineller Art und Weise missbrauchen läßt. Die Vorgehensweise von Strafermittlungsbehörden, Antiforensik, Psychologische Techniken zum ausforschen von Kriminellen und dergleichen gehören zum Grundwissen von jedem kriminellen Hacker. Diese Talente, die hohe Intelligenz und das kalkulierte Vorgehen sind der Hauptgrund, warum es fast unmöglich ist den Typus des kriminellen Hackers zu fassen. Nur wenn ein Blackhat einen groben Fehler macht oder durch einen Zufall ist es möglich ihn zu fassen. Stellen Sie sich eine kriminelle Organisation vor, welche aus einem Rechtsanwalt/Juristen, Forensischen Psychologen, IT-Spezialisten, Elektroniker, Detektiv und diversen anderen Berufsgruppen besteht. Ein Horror für die Strafermittlung. Die kriminelle Intelligenz ist nicht oder nur schwer erlernbar. Deshalb sollten Organisationen, welche eine hohe Sicherheit benötigen auf jemandem zurückgreifen, welcher nicht nur das Wissen, sondern auch die Talente in diesem Bereich besitzt. Nicht wenige Firmen stellen sich ehemalige Kriminelle ein oder beauftragen Firmen, welche von einem ehemailigen Kriminellen geleitet werden, wie dies zum Beispiel bei Kevin Mitnick der Fall ist.

Strafermittlungsbehörden und Computerdelikte

2009-12-01T11:04:00.002+01:00

Österreich ist nicht sehr erfahren mit IT-Kriminalität wie dies zum Beispiel in den USA oder in Deutschland der Fall ist. Dadurch ist es auch für die Strafermittlungsbehörden oft schwierig gegen solche Kriminaldelikte vorzugehen. Ein weiteres Problem ist die Tatsache, dass Angriffe meist vom Ausland aus durchgeführt werden. Kriminelle wissen dies und die Problematik bei der Länderübergreifenden Gerichtsbarkeit wird gezielt ausgenutzt. In der Praxis ist es meist unmöglich einen Angriff zu verfolgen, welcher mittels Proxychaining oder ähnlichen Techniken über mehrere Ländergrenzen hinweg durchgeführt wird. Viele Provider anderer Länder haben auch kein Interesse Daten an Österreich weiterzugeben. Aus diesem Grund werden ähnlich wie bei anderen Formen der organisierten Kriminalität meistens nur die Kleinkriminellen gefasst, welche aus niederen Motiven handeln. Die Strafermittlungsbehörden besitzen oft auch nicht das Notwendige qualifizierte Personal um gezielt gegen Formen der Internet-Kriminalität vorzugehen.

Das Auslagern von Dienstleistungen wie IT-Forensik, Ermittlungen mittels Privatdetektive und ähnlichen Maßnahmen ist meistens notwendig, wenn es sich um Delikte wie Wirtschaftsspionage und ähnlichem handelt. Das sammeln von Beweisen gegen Täter kann meist auch nicht von den Strafermittlungsbehörden übernommen werden, weil die Zeit oft drängt und die Beweise während der Tätigkeiten schon gesammelt werden müssen und nicht erst nach einer Strafanzeige. Für einen guten Schutz gegen Kriminalität ist es unerläßlich im Rahmen der gesetzlichen Möglichkeiten Sicherheitsvorkehrungen in Unternehmen zu veranlassen, welche im Fall der Fälle den Schaden bei solchen Delikten minimieren oder zumindestens die Beweisbarkeit bei einem Vorfall erhöhen.

Profiling und Information-Gathering auf den Menschen bezogen

2009-11-30T09:59:00.005+01:00

Neben den vielfältigen technischen Möglichkeiten ist es in kriminellen Organisationen üblich Profile von Personen zu erstellen. In der Praxis versucht man im ersten Schritt alle Informationen von betroffenen Personen zu sammeln. Das Internet bietet meist reichliche Informationen. Mittels ein paar geschickter Telefonanrufe, Emails und gut ausgedachten Fragen ist es leicht möglich Vertrauensbeziehungen von Personen zu ermitteln. Folgende Methoden werden in der Praxis oft angewendet:

* In Kontakt treten mit anderen über Social-Networks (XING, Facebook, Twitter, ...).
* Einstellen von fiktiven Personen ins Internet, welche auf das Profil des Opfers passen.
* Emails mit diversen Anfragen, welche zum Beispiel Produkte einer Firma betreffen.
* Bewerben als Mitarbeiter oder Interessent einer Firma um die interne Struktur eines Unternehmens zu überpfüfen.

Mit den gesammelten Daten läßt sich ein gutes Gesamtbild entwickeln. In diesem Gesamtbild wird nach möglichen Manipulations-Möglichkeiten gesucht. Durch die menschliche Schwäche ist es meist ein leichtes an geheime Informationen zu kommen. Kriminelle Angreifer kennen die typischen Schwächen und Muster der Psyche des Menschen und sie wissen wie sich diese gezielt ausnutzen lassen. Ähnlich wie bei technischen Angriffen suchen kriminelle Organisationen gezielt nach Schwachstellen in menschlich sozialen Systemen ihrer Opfer. Gegen Angriffe in dieser Form kann man sich nur durch Schulung der Mitarbeiter und regelmäßtigen Sicherheitskontrollen gut schützen.

Absolute Sicherheit?

2009-11-27T15:47:00.003+01:00

In der IT-Security Welt gibt es keine absolute Sicherheit. Es gibt keine Garantie für Sicherheit und Sicherheit läßt sich nicht genau messen. Zahlreich sind die Meldungen von angeblich unkackbarer Software und Netwerken. Kein seriöses IT-Security Unternehmen würde jemals behaupten es könne Sicherheit gewährleisten oder garantieren. Durch Sicherheitsvorkehrungen wird das Risiko ein Opfer zu sein minimiert, aber nicht ausgeschaltet. Es ist absolut Sicher, dass es keine absolute Sicherheit gibt. Viele Hersteller von Software geben dies offen zu und publizieren deshalb ihre eigenen Sicherheitsschwachstellen mit Lösungsvorschlägen.

Sicherheit kann man auch nicht als Produkt kaufen. Wer glaubt mit dem Kauf oder der Intallation gewisser Produkte sicherer zu sein hat sich getäuscht. Es kommt sogar vor, dass die Sicherheit gerade wegen der Installation solcher Prudukte gefährdet ist. Leider verstehen nur wenige diese Prinzipien und es ist für viele Hersteller leicht möglich den Schein von Sicherheit mit großem Erfolg zu vermarkten.

Sicherheit ist auch nicht etwas, was einmal durchgeführt werden kann und danach abgeschlossen ist. Die Erhöhung von Sicherheit ist ein laufender Prozess, welcher niemals endet. Nur eine fortwährende und genaue Beobachtung der Sicherheitsrelevanten Prozesse in einem Unternehmen können die Gefahr ein Opfer von Sicherheitsverletzungen zu werden minimieren. Diese Beobachtungen sollten auch von Betriebsfremden gemacht werden, da sich bei einem Sicherheitsbeauftragten oft eine Art Betriebsblindheit einschleicht.

Angreifer, welche es auf ein Unternehmen abgesehen haben besitzen meist die Kapazitäten über längere Zeit hinweg ein Unternehmen auf vielfältige Art und Weise zu beobachten und auszuforschen. Für eine Nachhaltige Erhöhung der Sicherheit ist es notwendig mit ähnlichen Mitteln zu arbeiten.

Grundprinzip der Sicherheit

2009-11-26T11:44:00.003+01:00

Es gibt grundlegende Konzepte, auf denen Sicherheit aufbaut. Wahrhafte Sicherheit kann nur in geordneten Systemen funktionieren. Unnötige und schlecht verwaltete Komplexität ist der größte Feind der Sicherheit. Um so undurchschaubarer Systeme sind, desto mehr ist die Sicherheit gefährdet. Dieses Konzept läßt sich auf Sicherheit ganz allgemein anwenden. Ein Hacker besitzt das Talent chaotische Systeme zu durchschauen und in diesen Systemen Fehler zu entdecken. Die unzähligen Fehler, welche beim Softwareentwickeln produziert werden und auch bei großen Firmen, welche das Potential besitzen so etwas gut zu verwalten beweisen es jeden Tag. Ein Unternehmen, welches eine schlecht verwaltete und chaotische IT-Infrastruktur besitzt ist sicherlich leichter angreifbar als ein Unternehmen, welches gute Sicherheitsregeln aufstellt, welche tatsächlich überprüft werden. Die Sicherheit ist nur so stark wie ihr schwächstes Glied. Wenn zum Beispiel ein Mitarbeiter eines Unternehmens aus Fahrlässigkeit Unternehmensinformationen preisgibt, dann helfen auch die besten technischen Sicherheitsvorkehrungen nichts. Sie sind im Prinzip alle auf einmal ausgehebelt. Es sind auch meistens die eigenen Mitarbeiter, welche das größte Sicherheitsrisiko beinhalten. Bis zu 80% der Angriffe kommen aus den eigenen Reihen. Die unzähligen leider von den Medien oft verschwiegenen Vorfälle im Bereich der Wirtschaftskriminalität zeigen dieses Problem in der Praxis auf.

Kriminelle haben ein Ziel vor Augen. Sie versuchen dieses Ziel auf dem einfachsten Wege zu erreichen. Deshalb suchen sie nach der schwächsten Komponente. Dies kann der Faktor Mensch, die Technik sowie eine schlechte Gebäudesicherung sein. Wenn ein Blackhat mittels rein technologischen Mitteln nicht weiterkommt, dann schaltet er meistens um auf Social-Engineering (Faktor Mensch), Spionage oder andere kriminelle Delikte. Die Methoden in Kombination sind die gefährlichsten Waffen, welche zum Einsatz kommen.

Zum Begriff Hacker

2009-11-25T22:14:00.004+01:00

Das Gleichnis Hacker = Krimineller ist grundlegend falsch und wird durch die Medien leider meistens auf diese Art und Weise transportiert. Genau so ist es falsch zu behaupten Hacker sind die Guten und Cracker sind die Bösen. Dies ist leider in vielen Schulbüchern zu finden und entspricht nicht der Realität. Als Cracker bezeichnet man üblicherweise jemandem, welcher sich auf das Aushebeln von Kopierschutzfunktionen und ähnlichem spezialisiert hat. Cracker = Spezialist für Reverse-Engineering ist eine passende Definition. Ein Hacker ist einfach jemand, welcher sich auf IT-Security spezialisiert hat und Spezialwissen in diesem Bereich verfügt. Folgende Einteilung hat sich als nützlich erwiesen:

Blackhat = Ein Hacker, welcher sich im illegalen Bereich bewegt
Grayhat = Ein Hacker, welcher je nach Situation zwischen legalen und illegalen Wegen entscheidet
Whitehat = Ein Hacker, welcher sich komplett im stets legalen Bereich bewegt

Die Fähigkeiten haben mit dieser Einteilung nicht viel zu tun. Ein Blackhat verfügt üblicherweise über das Gleiche wissen wie ein Whitehat oder Grayhat.

SkriptKiddies sind diejenigen, welche sich zwar für Hacking-Themen interessieren, aber das notwendige Wissen (noch) nicht besitzen.

Kriminalität und IT-Security

2009-11-25T21:28:00.001+01:00

Dieses BLOG handelt über IT-Security aus der Sicht des Verbrechers und der Strafverfolgung. Viel zu wenig wird bei Sicherheitsanalysen und Penetration-Testing der kriminelle Aspekt behandelt. Kriminelle Täter wollen ihr Ziel erreichen und dies auf alle möglichen Wege. Der technische Weg ist einer von vielen. Wenn man zum Beispiel durch eine Drohung oder Einschüchterung am Telefon an sensible Unternehmensdaten kommt, dann braucht es oft keine technisch aufwendigeren Mittel. Die wahre Gefahr liegt in der Kombination von Computertechnik/Hacking, Spionage und Social-Engineering. Gut organisierte kriminelle Institutionen sowie Terrorissmusvereinigungen beweisen es tagtäglich wie gut solche Kombinationen funktionieren und wie schwierig es ist für die Strafermittlungs-Behörden gegen sie anzugehen. Die totale Überwachung löst diese Problematik auf keinen Fall und gibt Kriminellen sogar noch das notwendige Werkzeug in die Hand. Dazu in späterer Folge mehr.