• IT-Karriere:
  • Services:

OpSec: Hacken, ohne erwischt zu werden

Der Hacksport ist mit Risiken und Nebenwirkungen verbunden. Ein Vortrag auf dem 35C3 klärt auf und zeigt wie es Hacker besser machen können.

Artikel von veröffentlicht am
Beim Hacken wird besser geschwiegen als geprahlt.
Beim Hacken wird besser geschwiegen als geprahlt. (Bild: National Archives at College Park)

Auch Hacker machen Fehler, manchmal ziemlich dumme. Auf dem Hackerkongress 35C3 berichten die Sicherheitsforscher Linus Neumann und Thorsten Schröder von einigen dieser Fehler, damit junge Hacker sie nicht selber machen müssen. Außerdem zeigen sie, wie es besser geht.

Stellenmarkt
  1. Deutsche Vermögensberatung AG, Frankfurt am Main
  2. sunzinet, Köln, Stuttgart, Paderborn

Eine der wichtigsten Lehren: "Übermut tut selten gut". Ein Beispiel dafür ist der Morris-Wurm, der 1988 das halbe Internet lahm gelegt hat. Er heißt nicht umsonst nach seinem Erfinder Robert Morris. Dieser war sehr stolz auf seinen Wurm und sprach gerne über ihn. Einmal kletterte er sogar auf einen Tisch und predigte aus dieser Position über ihn. Die Offenheit führte allerdings nicht nur dazu, dass der nach ihm benannt wurde, sondern auch zu einer Bewährungsstrafe, 400 Sozialstunden und einer Geldstrafe von 10.050 Dollar.

Vorausschauend und Anonym

Ein weiteres Problem ist, so Neumann und Schröder, dass die OpSec-Techniken häufig zu spät genutzt werden. Rutscht ein Hacker beim Online-Shopping mit der Maus aus und entdeckt eine Sicherheitslücke, die er sich anschließend genauer über einen Anonymisierungsdienst wie Tor anschaut, hat er die OpSec zu spät berücksichtigt. Die Administratoren der Webseite können dann zwar die Analyse oder das Ausnutzen der Sicherheitslücke nicht zurückverfolgen, aber die Entdeckung, bei welcher der Hacker ja nur "mausgerutscht" sei, kann ihn überführen. Vorausschauende OpSec ist der Schlüssel. Diese darf auch nicht aus Faulheit oder Bequemlichkeit vergessen werden.

Auch bei Anonymisierungsdiensten ist Vorsicht geboten. Bei VPNs muss dem Anbieter vertraut werden, dass er keine Logs vorhält. Erstrebenswert ist jedoch ein Setup, bei dem man niemandem vertrauen muss. Tor bietet sich hier an, da man über drei Server getunnelt wird. Keiner der Tor-Nodes weiß sowohl den Urspung und das Ziel einer Anfrage. Gegen einen globalen Angreifer hilft das zwar nicht, aber der Anonymisierungsdienst ist "für die kleine Datenreise" ohne Reisewarnung geeignet. Doch auch Tor kann falsch verwendet werden: Ein schlecht vorbereiteter Harvard-Student wollte eine Prüfung mit einer Bombendrohung ausfallen lassen. Dafür verwendete er Tor - allerdings über das Universitätsnetz, bei dem er sich mit Namen eingeloggt hatte und nur für genau diesen kurzen Zeitraum Tor verwendet hatte, in dem die Bombendrohung versendet wurde.

Das Zuhause sauber halten

Was liegt eigentlich alles so bei einem zuhause rum? Und wie sieht das für den unbedarften Betrachter aus? Hier kann man von Alberto aus Uruguay lernen: Dieser hatte zwei Sicherheitslücken in einer Gesundheitsplattform entdeckt und gemeldet (Responsible Disclosure). Mehrere Jahre später wurde die Plattform erpresst, es wurde mit der Veröffentlichung von Daten gedroht und 15 Bitcoins verlangt. Die Wohnung von Alberto wurde daraufhin von der Polizei durchsucht und Kreditkarten, Blanko-Kreditkarten, Kartenlesegeräte, Bargeldreserven und vieles mehr gefunden. Besonders brisant: Eine Anonymous-Maske und zwei Bitcoin-Münzen aus Metall wurden gefunden - und genau die wollte der Erpresser ja haben. Am Ende saß Alberto - der mit dem Erpresser-Schreiben nichts zu tun hatte - acht Monate im Gefängnis.

Kenne dein Gerät

Wichtig ist, dass man die Werkzeuge beherrscht, die man verwendet, weiß welche Metadaten sie leaken können. So können einen Hacker Logs wie die Bash-History, die zuletzt geöffneten Dateien, aber auch die gleichen kryptografischen Schlüssel, die man auf verschiedenen Geräten verwendet, verraten. Selbst der Coding-Stil kann analysiert werden.

Bei Pseudonymen kann man von den "ehrenamtlichen U-Bahn-Lackierern", in Fachkreisen auch "Sprayer" genannt, lernen. Diese sprühen häufig ihr Pseudonym - werden sie einmal erwischt, kann man ihnen auch vergangene Graffitis zuordnen. Gleiches gilt für Hacker und Pseudonyme. Allgemein konstatiert Neumann: "Sei vorher paranoid, denn nachher geht nicht". Und dabei die Hackerethik nicht vergessen!

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-60%) 23,99€
  2. (-72%) 8,50€
  3. (-79%) 5,99€
  4. 52,99€

AlbertoHacktivst 04. Jan 2019

In the first interrogation, I answer NO to the question of the mail. Keep saying no...

Lebenszeitverme... 01. Jan 2019

Paranoia ist ja ganz ok aber das Prozedere zwiebelt ordentlich. Je öfter man sich...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Razer Blade Stealth 13 im Test: Sieg auf ganzer Linie
Razer Blade Stealth 13 im Test
Sieg auf ganzer Linie

Gute Spieleleistung, gute Akkulaufzeit, helles Display und eine exzellente Tastatur: Mit dem Razer Blade Stealth 13 machen Käufer eigentlich kaum einen Fehler - es sei denn, sie kaufen die 4K-Version.
Ein Test von Oliver Nickel

  1. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  2. Junglecat Razer-Controller macht das Smartphone zur Switch
  3. Tartarus Pro Razers Tastenpad hat zwei einstellbare Schaltpunkte

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2
  3. Micropython Das Pyboard D ist ein Steckbausatz für IoT-Bastler

    •  /