Original-URL des Artikels: https://www.golem.de/news/opsec-hacken-ohne-erwischt-zu-werden-1812-138439.html    Veröffentlicht: 30.12.2018 14:49    Kurz-URL: https://glm.io/138439

OpSec

Hacken, ohne erwischt zu werden

Der Hacksport ist mit Risiken und Nebenwirkungen verbunden. Ein Vortrag auf dem 35C3 klärt auf und zeigt wie es Hacker besser machen können.

Auch Hacker machen Fehler, manchmal ziemlich dumme. Auf dem Hackerkongress 35C3 berichten die Sicherheitsforscher Linus Neumann und Thorsten Schröder von einigen dieser Fehler, damit junge Hacker sie nicht selber machen müssen. Außerdem zeigen sie, wie es besser geht.

Eine der wichtigsten Lehren: "Übermut tut selten gut". Ein Beispiel dafür ist der Morris-Wurm, der 1988 das halbe Internet lahm gelegt hat. Er heißt nicht umsonst nach seinem Erfinder Robert Morris. Dieser war sehr stolz auf seinen Wurm und sprach gerne über ihn. Einmal kletterte er sogar auf einen Tisch und predigte aus dieser Position über ihn. Die Offenheit führte allerdings nicht nur dazu, dass der nach ihm benannt wurde, sondern auch zu einer Bewährungsstrafe, 400 Sozialstunden und einer Geldstrafe von 10.050 Dollar.

Vorausschauend und Anonym

Ein weiteres Problem ist, so Neumann und Schröder, dass die OpSec-Techniken häufig zu spät genutzt werden. Rutscht ein Hacker beim Online-Shopping mit der Maus aus und entdeckt eine Sicherheitslücke, die er sich anschließend genauer über einen Anonymisierungsdienst wie Tor anschaut, hat er die OpSec zu spät berücksichtigt. Die Administratoren der Webseite können dann zwar die Analyse oder das Ausnutzen der Sicherheitslücke nicht zurückverfolgen, aber die Entdeckung, bei welcher der Hacker ja nur "mausgerutscht" sei, kann ihn überführen. Vorausschauende OpSec ist der Schlüssel. Diese darf auch nicht aus Faulheit oder Bequemlichkeit vergessen werden.

Auch bei Anonymisierungsdiensten ist Vorsicht geboten. Bei VPNs muss dem Anbieter vertraut werden, dass er keine Logs vorhält. Erstrebenswert ist jedoch ein Setup, bei dem man niemandem vertrauen muss. Tor bietet sich hier an, da man über drei Server getunnelt wird. Keiner der Tor-Nodes weiß sowohl den Urspung und das Ziel einer Anfrage. Gegen einen globalen Angreifer hilft das zwar nicht, aber der Anonymisierungsdienst ist "für die kleine Datenreise" ohne Reisewarnung geeignet. Doch auch Tor kann falsch verwendet werden: Ein schlecht vorbereiteter Harvard-Student wollte eine Prüfung mit einer Bombendrohung ausfallen lassen. Dafür verwendete er Tor - allerdings über das Universitätsnetz, bei dem er sich mit Namen eingeloggt hatte und nur für genau diesen kurzen Zeitraum Tor verwendet hatte, in dem die Bombendrohung versendet wurde.

Das Zuhause sauber halten

Was liegt eigentlich alles so bei einem zuhause rum? Und wie sieht das für den unbedarften Betrachter aus? Hier kann man von Alberto aus Uruguay lernen: Dieser hatte zwei Sicherheitslücken in einer Gesundheitsplattform entdeckt und gemeldet (Responsible Disclosure). Mehrere Jahre später wurde die Plattform erpresst, es wurde mit der Veröffentlichung von Daten gedroht und 15 Bitcoins verlangt. Die Wohnung von Alberto wurde daraufhin von der Polizei durchsucht und Kreditkarten, Blanko-Kreditkarten, Kartenlesegeräte, Bargeldreserven und vieles mehr gefunden. Besonders brisant: Eine Anonymous-Maske und zwei Bitcoin-Münzen aus Metall wurden gefunden - und genau die wollte der Erpresser ja haben. Am Ende saß Alberto - der mit dem Erpresser-Schreiben nichts zu tun hatte - acht Monate im Gefängnis.

Kenne dein Gerät

Wichtig ist, dass man die Werkzeuge beherrscht, die man verwendet, weiß welche Metadaten sie leaken können. So können einen Hacker Logs wie die Bash-History, die zuletzt geöffneten Dateien, aber auch die gleichen kryptografischen Schlüssel, die man auf verschiedenen Geräten verwendet, verraten. Selbst der Coding-Stil kann analysiert werden.



Bei Pseudonymen kann man von den "ehrenamtlichen U-Bahn-Lackierern", in Fachkreisen auch "Sprayer" genannt, lernen. Diese sprühen häufig ihr Pseudonym - werden sie einmal erwischt, kann man ihnen auch vergangene Graffitis zuordnen. Gleiches gilt für Hacker und Pseudonyme. Allgemein konstatiert Neumann: "Sei vorher paranoid, denn nachher geht nicht". Und dabei die Hackerethik nicht vergessen!  (mtr)


Verwandte Artikel:
Datenleak: Die Fehler, die 0rbit überführten   
(11.01.2019, https://glm.io/138651 )
Anga: Kabelnetzbetreiber wollen Routerfreiheit in EU verhindern   
(28.01.2019, https://glm.io/138994 )
Herbsttagung: BKA kämpft mit neuer Abteilung stärker gegen Cybercrime   
(22.11.2018, https://glm.io/137853 )
Identitätsdiebstahl: SIM-Dieb kommt zehn Jahre in Haft   
(04.02.2019, https://glm.io/139154 )
Airbus: Flugzeughersteller meldet Sicherheitsvorfall   
(31.01.2019, https://glm.io/139095 )

© 1997–2019 Golem.de, https://www.golem.de/