Back-Hacking bringt Sicherheitsprofis zurück in die Offensive

Back-Hacking stellt Gesetzgeber, Strafverfolger und das Militär gleichermaßen vor rechtliche und ethische Probleme.

SAN FRANCISCO. Back-Hacking, also das Vorgehen gegen Hacker mit deren eigenen Methoden, ist ein rechtliches und ethisches Problem für Gesetzgeber, Strafverfolger und das Militär gleichermaßen. Zwar hat es schon einige von Gerichten für zulässig erklärte Botnet-Abschaltungen und Infiltrationen von Cybercrime-Infrastrukturen im Internet gegeben. Doch die Zahl solcher Fälle ist gering, und sie bringen oft erhebliche rechtliche Herausforderungen mit sich.

Back-Hacking ist böse, aber wir wollen Hacker-Angriffe auf den Kopf stellen.

Paul Asadoorian, Produkt-Missionar, Tenable Network Systems

Offenbar aber könnte das auch anders sein. Auf der RSA Conference 2012 haben zwei Penetrationstester am Donnerstag technische Lösungen vorgestellt, mit denen Unternehmen Angreifer, die in ihre Systeme einzudringen versuchen, stoppen, Informationen über die Angriffe sammeln und sanft zurückschlagen können.

„Angriff ist die beste Verteidigung. Wir haben überlegt, welche wirksamen offensiven Maßnahmen aus Penetrationstests wir auch defensiv einsetzen können“, erklärte Paul Asadoorian, Produkt-Missionar bei Tenable Network Systems und Moderator des bekannten Podcasts PaulDotCom. „Back-Hacking ist böse, aber wir wollen Hacker-Angriffe auf den Kopf stellen.“

Asadoorian trat auf der Konferenz zusammen mit John Strand auf, der wie er selbst auch als Ausbilder für das SANS Institute tätig ist. Selbst die beschriebene Art von Back-Hacking könne aber keine einmalige Angelegenheit sein, mahnte er.

„Besprechen Sie das in Ihrer ganzen Organisation, nicht nur mit der IT-Abteilung im Keller“, sagte Strand. „Diskutieren Sie offen darüber, dokumentieren Sie es, und planen Sie es durch. Und zuletzt: Seien Sie nicht bösartig. Wenn Sie Zugriff auf das System eines Angreifers erlangt haben, schauen Sie dort keine Dateien an und löschen Sie nicht die Web-History. Das kann Sie in Schwierigkeiten bringen.“

Nach dem Vorschlag der beiden Redner sollten Unternehmen auf sensiblen Webseiten, VPNs oder anderen Eintrittspunkten in ein Netzwerk Warnhinweise hinterlassen, die erklären, dass Besucher beim Einloggen in das Netz mit NAC-artigen Sicherheitskontrollen zu rechnen haben. Die Warnungen sollten deutlich machen, dass im Netzwerk sämtliche Daten von Geräte-Informationen über IP- bis zu MAC-Adressen einschließlich Ortsangaben gesammelt werden. „Das Aufstellen von tödlichen Fallen ist illegal“, sagte Strand, „auf die Sicherheitsmaßnahmen sollten Sie aber hinweisen.“

Asadoorian beschrieb die drei Komponenten der Strategie für Back-Hacking: Annoyance (Lästigkeit), Attribution (Zuschreibung) und Attack (Angriff). Lästigkeit sei nur dazu da, Angreifer zu belasten und zu frustrieren. Mit Hilfsmitteln wie honeyports, SpiderTrap oder WebLabyrinth können Sicherheitsprofis sie in endlose Scan-Schleifen falscher Ports, Dienste und Verzeichnisse schicken.

„Angriffe beginnen oft erst dann richtig, wenn der Web-Crawler damit fertig ist, nach bestimmten Verzeichnissen und Seiten zu suchen“, sagte Asdoorian. Mit den richtigen Gegenmaßnahmen aber komme es nie so weit.

Auch für die Zuschreibung von Angriffen stehen Netzwerk-Administratoren Werkzeuge zur Verfügung. Word Web-Bugs zum Beispiel macht sich die eingebaute Browsing-Fähigkeit von Microsoft Word zunutze: In Word-Metadaten lässt sich ein iFrame einbinden, der sich meldet, wenn ein sensibles Dokument heruntergeladen wird. Ein weiteres nützliches Tool ist die Metasploit Decloaking Engine, Teil des Metasploit-Frameworks. Sie stellt die wahren IP-Adressen hinter einer Attacke dar.

In Bezug auf Angriffe auf Angreifer betonten Asadoorian und Strand, dass Techniken wie der Einsatz von Java Applet Attacks im Prinzip nur eine Erweiterung der Befähigung zu Lästigkeit und Zuschreibung darstellen sollten – daher auch ihr Rat zu ausführlichen Warnungen. Die beiden demonstrierten einen Java Paylod-Angriff, den sie in Metasploit gefunden hatten; mit seiner Hilfe erhielten sie Geodaten über einen Angreifer.

„Wir haben eine Shell bekommen, aber wir wollten keinen dauerhaften Langfrist-Zugriff“, berichtet Strand. „Es hat uns gereicht, Informationen über Längen- und Breitengrad zu bekommen.“

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close