OpSec: Hacken, ohne erwischt zu werden

Der Hacksport ist mit Risiken und Nebenwirkungen verbunden. Ein Vortrag auf dem 35C3 klärt auf und zeigt wie es Hacker besser machen können.

Artikel von veröffentlicht am
Beim Hacken wird besser geschwiegen als geprahlt.
Beim Hacken wird besser geschwiegen als geprahlt. (Bild: National Archives at College Park)

Auch Hacker machen Fehler, manchmal ziemlich dumme. Auf dem Hackerkongress 35C3 berichten die Sicherheitsforscher Linus Neumann und Thorsten Schröder von einigen dieser Fehler, damit junge Hacker sie nicht selber machen müssen. Außerdem zeigen sie, wie es besser geht.

Stellenmarkt
  1. SAP-Produktmanagerin/SAP-Pro- duktmanager (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  2. Anwendungsexperte (w/m/d) Dokumentenmanagement
    BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH, verschiedene Standorte
Detailsuche

Eine der wichtigsten Lehren: "Übermut tut selten gut". Ein Beispiel dafür ist der Morris-Wurm, der 1988 das halbe Internet lahm gelegt hat. Er heißt nicht umsonst nach seinem Erfinder Robert Morris. Dieser war sehr stolz auf seinen Wurm und sprach gerne über ihn. Einmal kletterte er sogar auf einen Tisch und predigte aus dieser Position über ihn. Die Offenheit führte allerdings nicht nur dazu, dass der nach ihm benannt wurde, sondern auch zu einer Bewährungsstrafe, 400 Sozialstunden und einer Geldstrafe von 10.050 Dollar.

Vorausschauend und Anonym

Ein weiteres Problem ist, so Neumann und Schröder, dass die OpSec-Techniken häufig zu spät genutzt werden. Rutscht ein Hacker beim Online-Shopping mit der Maus aus und entdeckt eine Sicherheitslücke, die er sich anschließend genauer über einen Anonymisierungsdienst wie Tor anschaut, hat er die OpSec zu spät berücksichtigt. Die Administratoren der Webseite können dann zwar die Analyse oder das Ausnutzen der Sicherheitslücke nicht zurückverfolgen, aber die Entdeckung, bei welcher der Hacker ja nur "mausgerutscht" sei, kann ihn überführen. Vorausschauende OpSec ist der Schlüssel. Diese darf auch nicht aus Faulheit oder Bequemlichkeit vergessen werden.

Auch bei Anonymisierungsdiensten ist Vorsicht geboten. Bei VPNs muss dem Anbieter vertraut werden, dass er keine Logs vorhält. Erstrebenswert ist jedoch ein Setup, bei dem man niemandem vertrauen muss. Tor bietet sich hier an, da man über drei Server getunnelt wird. Keiner der Tor-Nodes weiß sowohl den Urspung und das Ziel einer Anfrage. Gegen einen globalen Angreifer hilft das zwar nicht, aber der Anonymisierungsdienst ist "für die kleine Datenreise" ohne Reisewarnung geeignet. Doch auch Tor kann falsch verwendet werden: Ein schlecht vorbereiteter Harvard-Student wollte eine Prüfung mit einer Bombendrohung ausfallen lassen. Dafür verwendete er Tor - allerdings über das Universitätsnetz, bei dem er sich mit Namen eingeloggt hatte und nur für genau diesen kurzen Zeitraum Tor verwendet hatte, in dem die Bombendrohung versendet wurde.

Das Zuhause sauber halten

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Was liegt eigentlich alles so bei einem zuhause rum? Und wie sieht das für den unbedarften Betrachter aus? Hier kann man von Alberto aus Uruguay lernen: Dieser hatte zwei Sicherheitslücken in einer Gesundheitsplattform entdeckt und gemeldet (Responsible Disclosure). Mehrere Jahre später wurde die Plattform erpresst, es wurde mit der Veröffentlichung von Daten gedroht und 15 Bitcoins verlangt. Die Wohnung von Alberto wurde daraufhin von der Polizei durchsucht und Kreditkarten, Blanko-Kreditkarten, Kartenlesegeräte, Bargeldreserven und vieles mehr gefunden. Besonders brisant: Eine Anonymous-Maske und zwei Bitcoin-Münzen aus Metall wurden gefunden - und genau die wollte der Erpresser ja haben. Am Ende saß Alberto - der mit dem Erpresser-Schreiben nichts zu tun hatte - acht Monate im Gefängnis.

Kenne dein Gerät

Wichtig ist, dass man die Werkzeuge beherrscht, die man verwendet, weiß welche Metadaten sie leaken können. So können einen Hacker Logs wie die Bash-History, die zuletzt geöffneten Dateien, aber auch die gleichen kryptografischen Schlüssel, die man auf verschiedenen Geräten verwendet, verraten. Selbst der Coding-Stil kann analysiert werden.

Bei Pseudonymen kann man von den "ehrenamtlichen U-Bahn-Lackierern", in Fachkreisen auch "Sprayer" genannt, lernen. Diese sprühen häufig ihr Pseudonym - werden sie einmal erwischt, kann man ihnen auch vergangene Graffitis zuordnen. Gleiches gilt für Hacker und Pseudonyme. Allgemein konstatiert Neumann: "Sei vorher paranoid, denn nachher geht nicht". Und dabei die Hackerethik nicht vergessen!

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

AlbertoHacktivst 04. Jan 2019

In the first interrogation, I answer NO to the question of the mail. Keep saying no...

Lebenszeitverme... 01. Jan 2019

Paranoia ist ja ganz ok aber das Prozedere zwiebelt ordentlich. Je öfter man sich...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /