Verteidigung gegen Cyberangriffe: Der Hackback aus Hackersicht
"Die Cybertruppe der Bundeswehr könnte im Fall eines Hackerangriffs auf deutsche Rechner und Netze mit einem sogenannten Hackback zurückschlagen." Das liest man, wenn man de Begriff Hackback bei Wikipedia(öffnet im neuen Fenster) eingibt.
Aber wer schlägt denn da zurück? Na ja, das tun dann sogenannte Offensive Cyber Security Spezialisten, Pentester und Red Teamer. Hacker hacken also zurück. Leute wie ich.
Leider scheinen allzu viele Befürworter eines solchen Hackbacks innerhalb der Diskussion ihr Wissen aus Hollywood zu beziehen. Daher halte ich es für hilfreich zu erläutern, wie die Realität sich tatsächlich darstellt.
Wie man sich das so vorstellt
Wie das eingangs erwähnte Zitat schon sagt, soll man also bei einem Hackback zurückschlagen. Die Idee des Gegenschlags ist, dass ich damit den Angriff, der auf mich ausgeführt wird, unterbinden kann. Ich gehe quasi von der Verteidigung fließend in den Gegenangriff über.
In der Vorstellung der meisten Menschen geht das in etwa so: Eine Gruppe greift einen Energieversorger an. Die in der Zentrale merken das natürlich sofort, jemand sagt sowas wie "initiate hackback" . Nachts um vier klingelt mein Telefon mit dem Tetris Sound und ein Hubschrauber der Bundeswehr fliegt mich sofort vor Ort. Die Nachbarn stehen am Fenster und ich lächle sie verschmitzt an.
Dort angekommen, sehe ich dann auf vielen Monitoren, wie sich die Angreifer gerade im System ausbreiten - mit roten und grünen Punkten. Ich habe noch vier Minuten. Man reicht mir einen Gin Tonic und plötzlich läuft von irgendwoher cooler Industrial Techno. Ich fahre Firewalls hoch, reverse-proxy die Location, sichere den Mainframe und dann ist das Netz der Angreifer kaputt, deren Rechner explodieren.
"Wir haben gewonnen" , steht auf dem Bildschirm und der Timer stoppt bei drei Sekunden. Der Angriff ist vorbei, man reicht mir von irgendwoher eine Sonnenbrille, ich klappe meinen Kapuzzi hoch und der Abspann läuft.
-snap.jpg)
Wie cool wäre das denn? Ich wär sofort dabei! Leider hat da die Realität aber auch noch ein Wörtchen mitzureden.
Spielen wir das doch mal gedanklich in unterschiedlichen, vereinfachten, aber dafür realistischeren Szenarien durch.
Back 2 Reality
Der Fall: Eine Gruppe greift einen fiktiven Energieversorger an.
Möglichkeit 1: Niemand bekommt etwas mit. Das Licht geht aus.
Möglichkeit 2: Die ITler des Energieversorgers sehen, dass da etwas Verdächtiges in ihren Logs war. Die Logs sind aber voller solcher verdächtiger Dinge und es ist ohnehin unklar, was genau da passiert, wer zuständig ist und ob das nicht vielleicht vom Dienstleister kommt und so sein soll. Keine Reaktion. Das Licht geht aus.
Möglichkeit 3: Sie finden eine Backdoor in ihrem System, daraufhin wird ein Forensik-Team aktiv. Nach Stunden, eher Tagen, können sie vielleicht sagen, mit welcher IP-Adresse diese Backdoor kommuniziert hat. Sie geben mir diese IP-Adresse für den Hackback.
Möglichkeit 4: Eine Mitarbeiterin meldet, dass sie eine Phishing-Mail erhalten hat und nach Ausführung des Datei-Anhangs gemerkt hat, dass damit was nicht stimmt. Sie hat es dann ihrer IT-Sicherheits-Abteilung zurückgemeldet, nach Stunden oder Tagen bekomme ich diese E-Mail.
Bestenfalls läuft die "Verteidigung" gut und reagiert in den Fällen 3 und 4 entsprechend sinnvoll. Damit ich überhaupt hackbacktechnisch aktiv werden kann, nehmen wir mal an, dass, bis ich die E-Mail und IP-Adresse habe, nicht schon alles verschlüsselt wurde. Klar, ich kann nur dann gegenangreifen, wenn der Angriff nicht schon erfolgreich war - sonst wäre es kein Gegenangriff. Um hier weiter im Gedankenxperiment zu bleiben, nehme ich also überall den Best Case an und dass der Angriff läuft, aber noch nicht erfolgreich war.
Ich starte den Tag also um 09:00 Uhr, ohne Gin Tonic, aber mit Kaffee, von irgendwoher kommt cooler Industrial Techno und ich habe eine IP-Adresse und eine E-Mail. Ich schaue mir die E-Mail im Detail an und stelle fest:
Sie wurde über ein fehlkonfiguriertes Mail-Gateway eines japanischen Beauty-Shops versendet. Die Malware, die nachgeladen wurde, befand sich wahrscheinlich in einer Cloud-Instanz in Kalifornien, ist aber wieder weg und die IP schon neu vergeben. Das ist übrigens ein verkürztes, aber reales Alltags-Beispiel.
Die Angreifer haben sich wahrscheinlich nach der initialen Kompromittierung bereits ausgebreitet, Nutzeraccounts und Remote-Zugänge übernommen und benutzen die erste "Stage" der Backdoor ohnehin seit Tagen nicht mehr. Wer bekommt da jetzt den Hackback ab? Die Leute in Japan? Die Leute in Kalifornien?
Zwei Monate später ...
Ein Rechtshilfeersuchen ergibt vielleicht zwei Monate später, dass die Cloud-Instanz in Kalifornien einer Autovermietung gehört. Sie haben ein schwaches Passwort und keine Ahnung, was da passiert ist. Hier geht es also nicht weiter.
Aber ich habe ja noch die andere IP-Adresse. Neuer Kaffee, neuer Beat. Ich stelle fest, die IP gibt es noch und wir machen gedanklich die Annahme (!), das sei wirklich die IP der Bad Guys. Ein Geheimdienst versichert mir das auch und jetzt kommt der Hackback-Befehl. Normalerweise weiß ich das an der Stelle nicht unbedingt, aber ich nehme weiterhin den Best Case an.
Ich scanne die IP und finde nichts außer einem Port, über den die Backdoor kommuniziert hat. Wenn alles schön aktuell ist und die Bad Guys wissen, was sie tun, passiert da jetzt nichts weiter: Der Hackback ist vorbei, bevor er wirklich angefangen hat. Aber ich habe ja eine passende Zero Day, denn das ist mein Gedankenexperiment. Ich übernehme also mit der Zero Day die Kontrolle über die IP-Adresse.
Hackback 2.0 - Electric Hackaloo
Über die Thematik Zero Days, das Zurückhalten von Sicherheitslücken, die Stärkung von kriminellen Schwachstellen-Händlern und das Reversen von Zero Days gibt es schon genug professionelle Kommentare(öffnet im neuen Fenster) .
Ich habe also nun Kontrolle über eine IP-Adresse, die vielleicht mal von der angreifenden Gruppierung genutzt wurde. Hier wäre die Frage angebracht, welche Maßnahmen erforderlich wären, um den initialen Angriff auf meinen fiktiven Energieversorger durch meine offensive Tätigkeit zu unterbinden - den Angriff, der ja die ganze Zeit läuft oder schon vorbei ist, wohlgemerkt.
Ich könnte den Server, den sie nutzen, ihrem Zugriff entziehen. Dann nehmen sie halt einen anderen oder man hat eh schon lange einfach Remote-Zugänge für den Energieversorger übernommen und loggt sich da direkt ein. Das stoppt den Angriff nicht.
Ich könnte Honeypots bauen, also leicht angreifbare Systeme als Lockmittel, um die Attacken beobachten zu können, und Logs sichten, um mich selbst in deren Organisation auszubreiten und deren Systeme anzugreifen. Tage oder Wochen sind realistische Zeiträume für so etwas. Während ich das tue, verhindere ich natürlich den laufenden Angriff auch nicht.
Ich übernehme also gedanklich jetzt jede einzelne Maschine dieser Gruppe und sperre sie aus jedem Gerät, das sie besitzen, aus und identifiziere sie dabei sogar noch. Der Supergau. Danach übergebe ich eine Liste mit den Namen von fünf Personen und dem Land, aus dem sie agieren, nennen wir es Fantasialand, an den Energieversorger, die Staatsanwaltschaft und alle, die sie haben wollen.
Dem Energieversorger bringt das für den vergangenen Angriff direkt nichts. Langfristig könnte man mit den Infos aus dem Vorgehen der Angreifer zumindest theoretisch die Defensive stärken. Aber das hätte man davor auch schon tun können.
Fantasialand dementiert einen Angriff und liefert auch niemanden aus. Jedes Gruppenmitglied kauft sich einen neuen Laptop und ist spätestens nach zwei Wochen wieder einsatzfähig. Dann schreibt die Gruppe dem Energieversorger wieder ein paar Phishing-Mails oder sie findet ein paar ungeschützte Fernwartungszugänge und wir machen das ganze Spiel nochmal.
Hackback ist keine Verteidigung
Anhand dieser vereinfachten Gedankenspiele wird klar, dass der so beschriebene Hackback als Gegenschlag nicht geeignet ist, den Angriff zu verhindern. Das kann nämlich nur defensiv geschehen.
Gegnerische Hacker sind nämlich keine Haubitzen, deren Beschuss dann aufhört, wenn ich die Maschine unbrauchbar gemacht habe. Genau daher ist das viel zu oft vermittelte Bild des Gegenangriffs als Teil des defensiven Schutzes nicht anwendbar und oft auch schlicht falsch.
Natürlich kann man generell über Sinn, Nutzen und die Notwendigkeit offensiver Cyberaktionen diskutieren, sollte diese dann aber auch klar und ehrlich so benennen. Denn diese offensiven Aktionen verbessern die defensiven Fähigkeiten des fiktiven Energieversorgers zu keinem Zeitpunkt, dies kann nämlich nur durch Resilienz geschehen.
Ich würde mir hier eine ehrliche Auseinandersetzung wünschen, inklusive der klaren Benennung von offensiven Cyberaktionen als solche sowie deren Zielen. Wen wollen wir eigentlich warum angreifen? Was wollen wir damit erreichen, welche Daten erbeuten oder welche Systeme angreifen?
Dies muss natürlich ausführlichst vorher geklärt werden, denn dies sind genau die Fragen, die sich die ausführende Person am Ende stellen wird, sobald man ihr eine IP-Adresse hinlegt und sagt: "Hack das mal" .
IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)