Abo
  • IT-Karriere:

OpSec: Hacken, ohne erwischt zu werden

Der Hacksport ist mit Risiken und Nebenwirkungen verbunden. Ein Vortrag auf dem 35C3 klärt auf und zeigt wie es Hacker besser machen können.

Artikel von veröffentlicht am
Beim Hacken wird besser geschwiegen als geprahlt.
Beim Hacken wird besser geschwiegen als geprahlt. (Bild: National Archives at College Park)

Auch Hacker machen Fehler, manchmal ziemlich dumme. Auf dem Hackerkongress 35C3 berichten die Sicherheitsforscher Linus Neumann und Thorsten Schröder von einigen dieser Fehler, damit junge Hacker sie nicht selber machen müssen. Außerdem zeigen sie, wie es besser geht.

Stellenmarkt
  1. ElringKlinger AG, Dettingen an der Erms
  2. sunhill technologies GmbH, Erlangen

Eine der wichtigsten Lehren: "Übermut tut selten gut". Ein Beispiel dafür ist der Morris-Wurm, der 1988 das halbe Internet lahm gelegt hat. Er heißt nicht umsonst nach seinem Erfinder Robert Morris. Dieser war sehr stolz auf seinen Wurm und sprach gerne über ihn. Einmal kletterte er sogar auf einen Tisch und predigte aus dieser Position über ihn. Die Offenheit führte allerdings nicht nur dazu, dass der nach ihm benannt wurde, sondern auch zu einer Bewährungsstrafe, 400 Sozialstunden und einer Geldstrafe von 10.050 Dollar.

Vorausschauend und Anonym

Ein weiteres Problem ist, so Neumann und Schröder, dass die OpSec-Techniken häufig zu spät genutzt werden. Rutscht ein Hacker beim Online-Shopping mit der Maus aus und entdeckt eine Sicherheitslücke, die er sich anschließend genauer über einen Anonymisierungsdienst wie Tor anschaut, hat er die OpSec zu spät berücksichtigt. Die Administratoren der Webseite können dann zwar die Analyse oder das Ausnutzen der Sicherheitslücke nicht zurückverfolgen, aber die Entdeckung, bei welcher der Hacker ja nur "mausgerutscht" sei, kann ihn überführen. Vorausschauende OpSec ist der Schlüssel. Diese darf auch nicht aus Faulheit oder Bequemlichkeit vergessen werden.

Auch bei Anonymisierungsdiensten ist Vorsicht geboten. Bei VPNs muss dem Anbieter vertraut werden, dass er keine Logs vorhält. Erstrebenswert ist jedoch ein Setup, bei dem man niemandem vertrauen muss. Tor bietet sich hier an, da man über drei Server getunnelt wird. Keiner der Tor-Nodes weiß sowohl den Urspung und das Ziel einer Anfrage. Gegen einen globalen Angreifer hilft das zwar nicht, aber der Anonymisierungsdienst ist "für die kleine Datenreise" ohne Reisewarnung geeignet. Doch auch Tor kann falsch verwendet werden: Ein schlecht vorbereiteter Harvard-Student wollte eine Prüfung mit einer Bombendrohung ausfallen lassen. Dafür verwendete er Tor - allerdings über das Universitätsnetz, bei dem er sich mit Namen eingeloggt hatte und nur für genau diesen kurzen Zeitraum Tor verwendet hatte, in dem die Bombendrohung versendet wurde.

Das Zuhause sauber halten

Was liegt eigentlich alles so bei einem zuhause rum? Und wie sieht das für den unbedarften Betrachter aus? Hier kann man von Alberto aus Uruguay lernen: Dieser hatte zwei Sicherheitslücken in einer Gesundheitsplattform entdeckt und gemeldet (Responsible Disclosure). Mehrere Jahre später wurde die Plattform erpresst, es wurde mit der Veröffentlichung von Daten gedroht und 15 Bitcoins verlangt. Die Wohnung von Alberto wurde daraufhin von der Polizei durchsucht und Kreditkarten, Blanko-Kreditkarten, Kartenlesegeräte, Bargeldreserven und vieles mehr gefunden. Besonders brisant: Eine Anonymous-Maske und zwei Bitcoin-Münzen aus Metall wurden gefunden - und genau die wollte der Erpresser ja haben. Am Ende saß Alberto - der mit dem Erpresser-Schreiben nichts zu tun hatte - acht Monate im Gefängnis.

Kenne dein Gerät

Wichtig ist, dass man die Werkzeuge beherrscht, die man verwendet, weiß welche Metadaten sie leaken können. So können einen Hacker Logs wie die Bash-History, die zuletzt geöffneten Dateien, aber auch die gleichen kryptografischen Schlüssel, die man auf verschiedenen Geräten verwendet, verraten. Selbst der Coding-Stil kann analysiert werden.

Bei Pseudonymen kann man von den "ehrenamtlichen U-Bahn-Lackierern", in Fachkreisen auch "Sprayer" genannt, lernen. Diese sprühen häufig ihr Pseudonym - werden sie einmal erwischt, kann man ihnen auch vergangene Graffitis zuordnen. Gleiches gilt für Hacker und Pseudonyme. Allgemein konstatiert Neumann: "Sei vorher paranoid, denn nachher geht nicht". Und dabei die Hackerethik nicht vergessen!



Anzeige
Spiele-Angebote
  1. 1,12€
  2. 4,99€
  3. (-55%) 8,99€
  4. 33,95€

AlbertoHacktivst 04. Jan 2019

In the first interrogation, I answer NO to the question of the mail. Keep saying no...

Lebenszeitverme... 01. Jan 2019

Paranoia ist ja ganz ok aber das Prozedere zwiebelt ordentlich. Je öfter man sich...


Folgen Sie uns
       


iPad OS ausprobiert

Apple hat die erste öffentliche Betaversion vom neuen iPad OS veröffentlicht. Wir haben uns das für die iPads optimierte iOS 13 im Test genauer angeschaut.

iPad OS ausprobiert Video aufrufen
Erneuerbare Energien: Die Energiewende braucht Wasserstoff
Erneuerbare Energien
Die Energiewende braucht Wasserstoff

Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
Ein Bericht von Jan Oliver Löfken

  1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
  2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

CO2-Emissionen und Lithium: Ist das Elektroauto wirklich ein Irrweg?
CO2-Emissionen und Lithium
Ist das Elektroauto wirklich ein Irrweg?

In den vergangenen Monaten ist die Kritik an batteriebetriebenen Elektroautos stärker geworden. Golem.de hat sich die Argumente der vielen Kritiker zur CO2-Bilanz und zum Rohstoff-Abbau einmal genauer angeschaut.
Eine Analyse von Friedhelm Greis

  1. Ari 458 Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
  2. Nobe 100 Dreirädriges Retro-Elektroauto parkt senkrecht an der Wand
  3. Protean 360+ Neuer elektrischer Antrieb macht Kleinbusse extrem wendig

    •  /