The Art of Cyber War: Tools und Techniken
Im Cyber Security wird grundsätzlich zwischen offensiven und defensiven Techniken unterschieden, wobei beide voneinander abhängig sind. Einerseits ist die Möglichkeit, offensive Maßnahmen anzuwenden, direkt von den Schwachstellen eines angegriffenen Systems abhängig. Daher gehört es zu den Hauptaufgaben eines Hackers, Schwachstellen zu identifizieren. Andererseits muss sich die Cyber-Defense in die Rolle eines Angreifers hineinversetzen, um eine bestmögliche Abwehr von Angriffen zu gewährleisten.
Im folgenden Beitrag werde ich gängige offensive und defensive Tools und Techniken vorstellen, die im Bereich Cyber Sicherheit eingesetzt werden, und einen grundlegenden Überblick über ihre Prinzipien geben.
Offensive Strategien
Neben der Sicherheitsarchitektur, die aus Hardware- und Softwarekomponenten sowie deren Konfigurationen besteht, bestimmen Faktoren wie Kosten und Nutzen eines Angriffs, Effizienz, Motive, Ziele und Fähigkeiten des Angreifers, welche Strategien, Techniken und Werkzeuge letztlich eingesetzt werden. Andress und Winterfeld unterscheiden vier Typen offensiver Cybertechniken, die sowohl einzeln als auch in Kombination verwendet werden: Aufklärung, Angriff, Exploitation und Social Engineering.
Der Begriff der Aufklärung (Reconnaissance) stammt ursprünglich aus dem Militär und bezeichnet das Ausspionieren eines Feindes. Diese Strategie wird oft mit anderen Techniken kombiniert und stellt den ersten Schritt eines Angriffs dar. Es geht darum, Schwachstellen in einem Netzwerk, Betriebssystem oder einer spezifischen Anwendung wie Adobe Flash, Microsoft Office oder Messenger-Dienste auszuspionieren. Verschiedene Tools wie Scanner, Sniffer oder Packet Crafter können verwendet werden, um die Schwachstellen eines Systems zu identifizieren.
Scanner sind oft in Angriffstools integriert und können die Schwachstellen eines Systems identifizieren und auflisten. Bekannte Scanner sind Nmap, Nessus, Saintscanner und eEye Retina. Sniffer ermöglichen es Angreifern, den gesamten Netzwerkverkehr zu kopieren, um unverschlüsselte E-Mails, Dokumente oder Webseitenzugriffe zu lesen. Zu den bekanntesten Sniffer-Tools gehören Wireshark, Tcpdump und Ettercap. Packet Crafting wird hauptsächlich verwendet, um Firewall-Regeln zu analysieren. Statt den bestehenden Netzwerkverkehr zu untersuchen, werden künstliche Pakete generiert. Programme wie NetCat oder Hping sind hierfür bekannt.
Sobald Schwachstellen identifiziert sind, können verschiedene Angriffstools eingesetzt werden, die entweder Anwendungen auf einem Computer gefährden oder Passwörter knacken. Meist werden Malcodes wie Würmer oder Viren eingesetzt. Ein Wurm benötigt kein Host-Programm und verbreitet sich selbstständig, während ein Virus an eine Datei angehängt wird und eine Interaktion mit dem Benutzer erfordert (z. B. das Öffnen einer E-Mail oder eines Dokuments). Würmer und Viren verbreiten sich oft über sogenannte Angriffsvektoren wie E-Mail-Anhänge, Websites, Pop-ups oder Messenger-Dienste.
Trojaner öffnen Hintertüren im System und ermöglichen Angreifern unautorisierten Zugriff, während sie ihre wahre Absicht verschleiern. Sie ersetzen beispielsweise legitime Systemdateien durch gefälschte Dateien, die das System weiterlaufen lassen und gleichzeitig Angreifern Zugriff gewähren.
Würmer und Viren nutzen Techniken wie Cross-Site-Scripting oder Buffer Overflows, um Fehler im Quellcode anzugreifen. Cross-Site-Scripting zielt auf Webanwendungen ab, indem nicht autorisierter Code in Web-Skripte implementiert wird, die der Computer beim Zugriff auf eine bestimmte URL ausführt.
Ein weiteres Angriffsmittel sind Rootkits, die die Kontrolle über ein Betriebssystem übernehmen und falsche Informationen über den Systemstatus liefern. So kann ein Rootkit beispielsweise verhindern, dass Antivirensoftware Updates durchführt, während es dem Benutzer vorgaukelt, dass tägliche Updates erfolgen.
Eine andere Strategie ist der Einsatz von Würmern und Viren zur Erstellung sogenannter Botnetze oder Zombie-Armeen, die für Distributed Denial of Service (DDoS)-Angriffe genutzt werden. Hierbei überlasten zahllose Bots entweder ein System direkt oder dessen Bandbreite.
Wenn keine technischen Schwachstellen gefunden werden, kann der Angreifer Passwörter knacken oder auf Social Engineering zurückgreifen. Dabei wird die menschliche Komponente als schwächstes Glied eines Systems ausgenutzt, beispielsweise durch Phishing-E-Mails oder Insider-Informationen.
Exploitation beschreibt schließlich die Ausnutzung der Angriffsergebnisse. Angriffe können dabei auf Vertraulichkeit (Datendiebstahl), Integrität (Manipulation von Daten) oder Verfügbarkeit (Einschränkung der Systemverfügbarkeit) abzielen.
Defensive Strategien
Im Bereich der Verteidigung kommen eine Vielzahl von Strategien, Techniken und Werkzeugen zum Einsatz. Die sogenannte Defense in Depth (mehrschichtiger Schutz) bildet oft die Grundlage. Dabei erschweren mobile Endgeräte und austauschbare Speichermedien wie USB-Sticks die Eingrenzung des Verteidigungsbereichs.
Wichtige defensive Tools umfassen Firewalls, um Angriffe abzuwehren, Intrusion Detection Systems zur Erkennung von Angriffen, Antivirensoftware, um Angriffe zu neutralisieren sowie die Datenverschlüsselung zum Schutz von Informationen.
Obwohl Defense-in-Depth-Maßnahmen die Basis eines Sicherheitskonzepts bilden, können sie keine uneingeschränkte Sicherheit garantieren. Zum Beispiel können Angreifer die Signaturen von Malware ändern, um traditionelle Firewalls zu umgehen. Moderne Systeme setzen daher zunehmend auf Deep-Learning-Algorithmen, die auch unbekannte Malware erkennen sollen.
Auf organisationeller Ebene werden oftmals Cyber-Zellen eingesetzt, die auch als Security Operations Centers (SOC) oder Computer Emergency Response Teams (CERT) bekannt sind und auf erfolgreiche Angriffe reagieren. Sie führen Aufgaben wie die Bewertung von Schwachstellen, Penetrationstests und Cyberforensik durch. Sandboxing wird genutzt, um verdächtige Dateien in einer isolierten Umgebung zu testen und deren Verhalten zu analysieren.
Ein weiterer Aspekt der Verteidigung ist das Konfigurationsmanagement, das sicherstellt, dass Hardware- und Softwarekomponenten eines Netzwerks korrekt verbunden und konfiguriert sind. Ergänzend dazu spielt das Identitätsmanagement eine wichtige Rolle, um den sicheren Austausch von Informationen zu gewährleisten. Es umfasst Funktionen wie Authentifizierung, Autorisierung und Überwachung.
Defensivmaßnahmen werden heute in umfassendere Cybersicherheitsstrategien eingebettet, die mehrere Security Layer, Reaktionsteams, Testteams und Verwaltungssysteme kombinieren.