Twitter, Sony, Microsoft, Zendesk, Apple, diese Firmen haben alle eines gemeinsam - sie wurden in der Vergangenheit Opfer von Hackerangriffen. In absehbarer Zukunft wird es auch weiterhin erfolgreiche Hacks geben, vermutlich sogar mehr. Warum das so ist will ich euch erklären.

Das Leben eines Whitehats ist schwer
Erstmal zur allgemeinen Definition eines Whitehats. Ein Whitehat ist ein Hacker, der seine Fähigkeiten zum Positiven einsetzt, Lücken findet und diese an Firmen meldet. Das Gegenteil eines Whitehats ist, wer hätte es gedacht, ein Blackhat, dem es meist nur um Zerstörung, eigenen Profit, Ruhm und/oder Ansehen geht. Doch es gibt auch noch die Grayhats, eine Mischung von beidem (mal so, mal so).
Aber zurück zu dem Thema, warum es schwer für einen Whitehat ist. Sie bewegen sich auf einem schmalen Grad der Legalität. In den meisten Ländern ist Hacking verboten. Findet ein Whitehat eine Lücke, so kann er maximal diese melden. Er darf sie nicht ausnutzen, um die Sicherheitslücke zu demonstrieren (z.B. indem er dem Admin ein Textfile auf dem Server mit "You are vunerable" hinterlässt oder sich ein paar Datensätze aus Datenbanken zieht). Zu dem Thema Whitehat Hacking kann ich auch folgendes YouTube-Video empfehlen, sofern ihr technisch interessiert seid und etwa 2 Stunden Zeit habt:


Wie Firmen Risiken kalkulieren und intern ticken
Es trifft sich gut, dass ich dieses Semester auch das Thema IT-Sicherheit habe. Es gibt verschiedene Methoden, Risiken und die möglichen Schäden einzuschätzen. Ich möchte hier allerdings der Einfachheit halber nur auf die Risikoanalyse eingehen.
Ein Sicherheitsrisiko R berechnet sich aus der Schadenshöhe S und der Eintrittswahrscheinlichkeit E durch die Formel R=S*E. Die Schäden setzen sich aus den ersichtlichen Schäden wie Wiederherstellungskosten, Produktivitätsausfall etc. zusammen. Was viele aber wahrscheinlich nicht berücksichtigen sind die sekundären Schäden, wie beispielsweise Imageschäden. Die Eintrittswahrscheinlichkeit E ist ein Wert zwischen 0 und 1.
So weit zur trockenen Mathematik. Wer sich in den letzten Absatz etwas hereindenkt, der sieht direkt einige Schwierigkeiten: Wie soll man den Schaden für den Imageschaden ansetzen und wie soll man die Eintrittswahrscheinlichkeit ansetzen. Beides beruht meist auf Erfahrungswerten und Statistiken.
Ich nehme an, dass das Sicherheitsrisiko in den meisten Firmen meist niedriger angesetzt wird als es tatsächlich ist. Der Grund: Geld. Die Entwicklung von Software und Infrastruktur kostet Geld, das Testen kostet Geld. Firmen haben nicht unendlich Geld und wollen natürlich so viel Geld machen wie es nur geht. Also spart man Geld an allen Enden. Das führt dazu, dass wenig Geld in die Entwicklung und damit auch in die Sicherheit gesteckt wird. Ich denke zum Thema fehlende Tests muss ich nichts sagen, da bestimmt jeder mal Probleme mit einer Software hatte, welches mit ausreichenden Tests hätte vermieden werden können.

"Ich hab da mal ne Lücke..." - "Ja und?"
Dieser Abschnitt passt in die beiden vorherigen Abschnitte, das er beide Seiten schildert (Hacker und Firmen).
Werden Lücken von Whitehats gefunden, so melden diese die Lücken an die Firmen. Doch hier ist das erste Problem: An wen wendet man sich? PR-Abteilung? Verkaufsabteilung? Die allgemeine Info-Adresse? Alles irgendwie nicht die richtige Adresse dafür (und wahrscheinlich sitzen am anderen Ende des Postfaches auch nicht wirklich technikaffine Leute). So werden viele Lückenmeldungen schon an der Stelle ignoriert, da sie als nicht wichtig eingestuft werden (die monetäre Gefahr wird nicht erkannt). Einige Firmen gehen hier bereits mit Bounty Programmen einen guten Weg, indem sie für gemeldete Fehler und Lücken Geld ausschütten (und das im Extremfall nicht gerade wenig). Doch hier haben auch die Firmen eigene Wege und Bedingungen, sodass Lücken auch mal zu niedrig eingestuft werden oder sogar kein Geld ausgeschüttet wird.
Kommt eine Lücke doch mal erfolgreich bei einer Firma an, dann kostet das auch. Warum? Man muss einen oder mehrere Programmierer abstellen, die die Lücke untersuchen, beheben, testen, etc. Das alles kostet, teils nicht mal wenig.

Du kümmerst dich nicht um deine Verantwortung, also muss es die Presse/das Internet tun
Doch was bleibt einem übrig, wenn eine Firma partout nicht reagiert? Immer wieder gehen Hacker und Sicherheitsforscher an die Presse und/oder veröffentlichen Infos zu Lücken im Netz. Das mag auf den ersten Blick verantwortungslos erscheinen, aber um ehrlich zu sein: Was bleibt ihnen übrig? Firmen bewegen sich was Lücken angeht nur sehr schwerfällig oder gar nicht. Oft versucht man Lücken zu ignorieren oder totzuschweigen. Allerdings schlafen die Blackhats auch nicht.
Doch leider kommt hier auch die Kehrseite: Menschen vergessen oder verstehen nicht. Gibt es einen Hack oder einen Bericht über eine Lücke, wird das gekonnt ignoriert und schnell vergessen. Selbst wenn Accounts in Folge von Hacks übernommen werden, wird das meist als "nicht schlimm" abgetan. Was alles passieren kann, das ist nochmal ein Thema für einen eigenen Thread.

Da zieh' ich mir doch lieber einen Zylinder auf
Es ist meist leichter, ein Blackhat zu sein (auch wenn man sich auf der "dunklen Seite der Macht" und des Rechts bewegs). Eine gute Lücke bringt auf dem virtuellen Schwarzmarkt gerne eine 4-6 stellige Summe ein. Und mit abgegriffenen Daten lassen sich auch noch ein paar Euro machen (wenngleich diese vergleichsweise billig sind).

Das war es erstmal von mir. Ich bin gerne bereit hier zu diskutieren und auch auf Fragen zu antworten. Eventuell habe ich nicht alles zu 100% abgedeckt, aber ich bin leider schon etwas müde.

Einer der Gründe warum ich so gut wie alles auf eigene Server in meinen Land gezogen habe - mal von einem PayPal oder PSN Hack ausgeschlossen, können meine Daten bei einem Angriff auf Firmen nicht gestohlen werden (ausser natürlich von meinem Server^^).

Dieser Beitrag wurde zuletzt bearbeitet: 23.11.2014 00:22 von heubergen.

Wie oft man sowas erlebt. Guter Bericht (y)

Microsoft ist auch recht lustig was den Umgang mit Sicherheitslücken angeht. Gerade wurde wieder eine Lücke im Internet Explorer bekannt die MS bereits seit 6 Monaten kennt und bis heute ignoriert hat.

Erwähnenswert ist vielleicht noch, dass die oft in der Öffentlichkeit erwähnten DDoS-Attacken nichts mit Hacken bzw. Ausnutzen solcher Sicherheitslücken zu tun hat. Aber andererseits wissen das hoffentlich schon einige.

DDoS ist die unterste Schublade (ok, ein DoS mit LOIC ist noch dümmer ...). Jeder mit sagen wir einer 50€ Paysafe Karte kann sich ein Botznetzwerk aufbauen (ok, nen bisschen Google und Verständnis ist erforderlich, aber das geht gegen 0). Die Zahlen basieren auf meinen Erfahrungen vor ein paar Jahren.

Mit der Lücke im IE: Ernsthaft, wer nutzt den Ne, Spaß, im Unternehmensumfeld wird der gerne genutzt. Warum die Lücke ignoriert wird? Ganz einfach: man hofft/denkt, dass die Lücke eh keiner findet. Also warum patchen und damit auf die Lücke aufmerksam machen? So gibt man ja den "Bad Guys" ne gute Vorlage.