Die Methoden der Hacker

08.08.2011 | 13:42 |  Von Sara Gross (DiePresse.com)

Webseite offline oder gar "verschönert" und alle Daten der Nutzer öffentlich einsehbar. Der Online-Albtraum wird für immer mehr Firmen und Behörden real. Meist haben die Angreifer leichtes Spiel.

Drucken Versenden AAA
Schriftgröße
Kommentieren

Mehr zum Thema:

Es vergeht mittlerweile kaum ein Tag, an dem Hacker nicht die Webseite einer Firma, Behörde oder eines Medienkonzerns "knacken". Ob Rachefeldzug, Online-Demo, finanzielle Ziele oder Geltungsdrang - die Angreifer finden immer ein Motiv. Und sie finden auch immer ein Schlupfloch, eine Sicherheitslücke, durch die sie "eindringen" können. Gerade bei großen Web-Portalen und großen Konzernen, scheinen Online-Verantwortliche einfach nicht jede potenzielle Schwachstelle im Blick haben zu können. Aber wie einfach ist es wirklich, eine Webseite zu "knacken" und mit welchen Methoden arbeiten Hacker genau?

Mehr zum Thema:

Türöffner: Cross Site Scripting und Brute Force

Viel Schaden anrichten können Hacker, wenn sie sich Zugriff auf das "Back End" einer Webseite verschaffen. Dort kann der Quellcode und damit Aussehen und Funktionsweise der Webseite verändert werden und diverse Datenbanken eingesehen werden. Eine gängige Methode ist denkbar einfach. In vielen Fällen werden notwendige Passwörter oder andere hilfreiche Daten schlicht erfragt. Oft genügt ein Anruf einer vermeintlich vertrauenswürdigen Person an der richtigen Stelle (Social Engineering). 

Eine andere Möglichkeit ist es, die Online-Identität eines Nutzers mit den gewünschten Berechtigungen im Internet "abzufangen" und für sich selbst zu nutzen. Machbar ist das zum Beispiel über sogenanntes Cross Site Scripting (XSS). Dafür nutzen Angreifer Formulare, über die auf Webseiten Text hinterlassen werden kann - zum Beispiel Foren oder Webseiten für Kleinanzeigen. Sind die Formulare nicht entsprechend geschützt, können Hacker darin ausführbaren Code verstecken. Das Opfer braucht dann nur noch die entsprechende Webseite aufrufen und der Angreifer erhält zum Beispiel Zugang zu dem "Cookie" des eingeloggten Nutzers. Damit kann sich der Hacker im Browser ganz einfach als dieser Nutzer ausgeben. 

Eine ebenfalls gängige Methode, Passwörter zu knacken, ist "Brute Force". Dabei werden einfach alle möglichen Passwörter ausprobiert. Dass diese Methode in der Praxis oft erfolgreich ist, liegt daran, dass viele Nutzer sehr simple Passwörter wie "1234" oder "password" verwenden. 

Daten "stehlen"

Für das Auslesen von Nutzerdaten verschiedener Online-Dienste haben Hacker ganz unterschiedliche Motive. Die einen wollen mit den Daten Geld machen - entweder, indem sie die Datensätze verkaufen, oder indem sie Kreditkarten- oder Bankkonto-Daten missbrauchen. Die anderen wollen die geklauten Daten als Druckmittel verwenden und die Firma oder Behörde zu bestimmten Maßnahmen zwingen. Letzteres ist jüngst etwa bei einem Angriff auf den Österreichischen Gebühreninfo Service GIS geschehen. Die Angreifer drohten mit der Veröffentlichung von spionierten Daten, wenn der Dienst nicht zugebe, dass die Daten durch zu schwache Sicherheitsmaßnahmen abhanden gekommen sind. Diese zu schwachen Sicherheitsmaßnahmen betreffen in der Regel SQL-Datenbanken, die die Nutzerdaten enthalten und oft einfach durch das Ändern der URL, der Adresse in der Adresszeile des Browsers, gelesen werden können. Solche SQL-Injections können vom Betreiber relativ einfach verhindert werden. Oft genügt es, die Berechtigungen strenger zu setzen und die Eingaben von Nutzern zu "maskieren", sprich, Zeichenfolgen, die auch als SQL-Befehl akzeptiert werden, verschlüsseln. 

Online-Demo: Distributed Denial of Service

Mit ausreichend Teilnehmern lassen sich über das Internet Webseiten lahmlegen. Das passiert gelegentlich ganz ohne das Zutun von Angreifern. Zum Beispiel waren nach dem Tod von Michael Jackson 2009 Dienste wie Twitter und Google ob des Ansturms interessierter Nutzer einfach überfordert. Es kamen zu viele Anfragen, die Server hatten nicht ausreichend Ressourcen frei und waren nicht mehr erreichbar. Dieser Zustand lässt sich allerdings auch künstlich herbeiführen und wird dann Distributed Denial of Service (DDoS) genannt. Die Angreifer sehen diese Methode oft nicht als Verbrechen, sondern als friedlichen Online-Protest - etwa so, als würden Demonstranten eine Straße verstellen. Für eine solche Online-Demo muss auf tausenden Computern ein spezielles Programm installiert werden. Über dieses Programm kann das so entstandene "Botnet" von dem Initiator des Angriffs ferngesteuert werden. Diese Rechner überfluten das Ziel schließlich mit Anfragen. In der Regel wissen die Besitzer der Computer in dem Botnet nichts von ihrer Rolle - sie sind selbst Opfer von Schadprogrammen geworden. Es gibt allerdings auch Fälle, in denen die einzelnen Botnet-Rechner freiwillig teilnehmen. So geschehen zum Beispiel im Dezember 2010, als sich Hacker der Gruppe Anonymous an Paypal, Mastercard und Visa rächen wollten, weil die Zahlungsdienstleister gegen Wikileaks vorgingen. 

 

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Lesen Sie hier weiter zum Thema:

Mehr aus dem Web

8 Kommentare

SQL Injection

Also SQL Injection hat nichts mit Ändern der URL zu tun. Im nächsten Satz steht dann zwar richtigerweise etwas von Eingabefeldern in Formularen, aber mit Verschlüsseln hat das wieder gar nichts zu tun.

Ziemlich konfuse Sache. Das Thema ist nicht einfach für Laien zu beschrieben, aber besser weglassen als verwirren.


Gast: da_nab
09.08.2011 09:12
0 0

botnet

ein botnet ist aber was anderes...

Gast: wdfsdf
08.08.2011 18:06
2 1

Ein DDOS ist genau so wenig eine Demo wie die Ausschreitungen in London.


0 1

Re: Ein DDOS ist genau so wenig eine Demo wie die Ausschreitungen in London.

Ein DDOS-Angriff ist - sofern eine Analogie überhaupt sinnvoll ist - vergleichbar mit einer 200 Mann starken Gruppe von Personen, die halt "zufällig" auf der Strasse vor dem Eingang eines Geschäftes stehen.
Pech, wenn da kein "normaler" Passant mehr durchkommt, aber ein direkter Schaden entsteht dadurch nicht.

Re: Ein DDOS ist genau so wenig eine Demo wie die Ausschreitungen in London.

Der Vergleich hinkt. Dei einem Datencrasher wo die Website komplett mit Rainbow Dash verschönert wird (ist kein DDOS) werden Daten gelöscht. Gibt es in London etwa von den ausgebrannten Autos und Geschäftslokalen, verletzten Demonstranten und Polizisten eine Sicherungskopie die man wieder aufspielen kann, und es ist alles wie vorher mit ein wenig Zeitaufwand? Wobei, bei DDOS werden KEINE Daten zerstört sondern nur der Zugang zu ihnen blockiert. Also nix vergleich mit lustiger Zerstörungsorgie. Ich schlage vor, sie informieren sich in Zukunft bevor sie sowas behaupten. Aber als Gast brauchen sie sich natürlich nicht daran zu halten.

Antworten Gast: mmm
08.08.2011 18:58
1 2

Re: Ein DDOS ist genau so wenig eine Demo wie die Ausschreitungen in London.

Wieso? Weil bei beiden Schaden entsteht?

Entsteht nicht bei normalen Demos auch oft Sach- oder sonstiger Schaden (Verkehrsblockade, Umsatzentgang, ...)?

Ich fände einen Test vernünftig, ob sich DDoS als vernünftiges demokratisches Protestmittel erweist. zB eine einjährige Testphase in denen es für einzelne Benutzer legal ist sich an DDoS zu beteiligen.
Ich meine keine Botnetze damit.

Vielleicht bin ich zu optimistisch, und das Ding würde nur für politischen Sandkastenkrieg verwendet. Aber probieren könnte mans mal.

details

die loic (low orbit ion cannon) wurde mittels "hive-mode" durch einen IRC-kanal mit den zieldaten versorgt und das würde ich nicht als botnet beschreiben.

für dieses programm fasst man in GB (allein fürs herunterladen) 2 jahre und in den niederlanden für die teilnahme an einer ddos-demo 6 jahre aus.

vor diesem einfachen tool soll man große angst haben, während wir für israels unit 8200, die nsa der amerikaner, sowie die russischen und chinesischen staatshacker offene bücher sind?

eine lasttest-anwendung für netzwerke soll gefährlicher sein als stuxnet?

0 0

Re: details

Einige Leute bezeichnen diese Form als freiwilliges Teilnehmen in einem Botnet. Immerhin überlässt man ja einem Dritten die Steuerung zumindest eines Teils des Systems.

Es mag sein, dass die eigentliche Bezeichnung einfach übernommene Computer meint, deren Besitzer nichts davon wissen.

Smartphone aus Österreich

AnmeldenAnmelden