Offensive Sicherheitsmaßnahmen
Unter offensiven Security-Maßnahmen versteht man proaktive und gegen einen Gegner gerichtete Methoden, um Computer, Netzwerke und Individuen vor Angriffen zu schützen. Konventionelle Maßnahmen, die manchmal auch als defensive Security bezeichnet werden, konzentrieren sich dagegen rein auf reaktive Methoden wie das Patchen von Anwendungen und das Finden und Beheben von Schwachstellen in Software und anderen Systemen. Im Gegensatz dazu sind offensive Maßnahmen darauf ausgerichtet, den jeweiligen Angreifer ausfindig zu machen. Gelegentlich geht man dabei sogar soweit, seine Kapazitäten unwirksam zu machen oder seine Aktionen zumindest zu unterbrechen.
Auf einer RSA Conference vor wenigen Jahren haben Paul Asadoorian und John Strand mehrere Methoden vorgestellt, mit denen Unternehmen gegen sie gerichtete Angreifer frustrieren und abwehren können. Sie dienen auch dazu, Informationen zu sammeln und – unter Beachtung bestimmter Spielregeln – gegen die Opponenten vorzugehen, ohne dabei selbst illegale Aktionen auszuführen. Die beiden Forscher, die für das SANS Institute arbeiten, sind davon überzeugt, dass sich ihre offensiven Methoden nicht nur für Penetration-Tests eignen, sondern auch für defensive Aktionen.
Asadoorian und Strand empfehlen, dass Unternehmen an möglichen Eintrittspforten Nachrichten platzieren, die mögliche Angreifer vor weiteren Aktivitäten warnen. Potentielle Angreifer sollen sich bewusst werden, dass sie selbst das Ziel von NAC-Angriffen (Network Access Control) werden können, wenn sie fortfahren. Dabei werden Daten über die von ihnen verwendeten Systeme wie etwa ihre IP- und MAC-Adressen (Media Access Control Address) gesammelt und gegen sie eingesetzt.
Die beiden Forscher setzen dabei auf drei Methoden: Sie wollen den Angreifern auf die Nerven gehen, sie zudem möglichst schnell identifizieren und dann zum Gegenangriff übergehen. Beim auf die Nerven gehen setzen sie auf Tools, mit denen sich falsche Ports, Dienste und Verzeichnisse im Netzwerk anlegen lassen. Sobald sich ein Angreifer in diesen Tiefen verirrt, gelangt er – zumindest in der Theorie – nur noch schwer hinaus, um seine eigentliche Attacke fortzuführen.
Das ebenfalls empfohlene Identifizieren der Angreifer ist besonders wichtig. Eine der dafür geeigneten Methoden ist, zum Beispiel einen Web-Bug in sensiblen Dokumenten zu platzieren. Wenn eines dieser Dokumente geöffnet wird, soll der versteckte Code Informationen über das dazu verwendete System zurücksenden.
Laut Asadoorian sollte die auf einen Gegenangriff ausgerichtete Komponente aber nur eine Verstärkung der anderen beiden Methoden sein. Auf keinen Fall dürfe sie selbst bösartige oder illegale Aktivitäten gegen den Angreifer enthalten.