von Andy Green
Was können wir aus lernen, wenn wir die Hacking-Angriffe der erfolgreichsten Hacker-Organisation auswerten, die bisher vor Gericht gebracht wurde? Vergangene Woche hat die US-Staatsanwaltschaft in New Jersey Anklage gegen eine überwiegend russische – ein amerikanischer Mittäter wurde ebenfalls benannt – Bande an Cyperkriminellen erhoben, denen der Diebstahl von mehr als 160 Millionen Kreditkartennummern und ein daraus entstehender Verlust von mehr als 300 Millionen USD im Verlauf von sieben Jahren vorgeworfen wird. Betrachtet man die Anklage genauer, gewinnt man den Eindruck, dass diese Bande über grundsolides Geschäftsmodell verfügt, das ihre Ziele mehr als übererfüllte und, dass sich die Bande an die Grundsätze der IT-Sicherheit gehalten hat – verglichen mit den Opfern.
Den Ermittlungen der Staatsanwaltschaft zufolge, die vor allem auf Online-Chats zwischen den Hackern selbst basierten, wurden die Kreditkartennummern über Großhändlernetze verkauft: Amerikanische Nummern wurden zu einem Preis von 10 $, kanadische für 15 $ und europäische für 50 $ gehandelt. Die Hacker-Bande, die von der Staatsanwaltschaft berechtigterweise als Organisation bezeichnet wurde, bot dabei sogar Mengenrabatte an – d. h. festgelegte Zahlungspläne. Das Vertriebsnetz verkaufte die gestohlenen Daten im Anschluss über eigene Kanäle an die Endnutzer.
Dabei akzeptierte die Hacking-Organisation übrigens keine Kreditkarten als Bezahlung für ihre Dienste, sondern ausschließlich Überweisungen und Western Union. Ein extrem guter Schachzug, denn Kreditkartennummern können schnell ja bekanntlich auch mal gestohlen werden!
Das tatsächliche Hacking-Talent war kaum ausgereifter als das von ganz gewöhnlichen Cyberkriminellen. Sie arbeiteten vor allem mit SQL-Injection-Angriffen um Webseiten zu Knacken, weniger mit reinen Passwort-Rate-Attacken. Die Opfer rekrutieren sich aus Einzelhandel, Finanzwesen und Kreditkartenbranche und belegen einmal mehr die Statistik aus Verizons Datenschutzbericht über die am häufigsten von Hacking-Angriffen betroffenen Bereiche. In einigen Fällen entschieden sich die Hacker aufgrund der verwendeten Verkaufs- oder POS-Ausstattung für Einzelhändler, da sie hier speziell konfigurierte Schnüffel-Software installieren konnten, um unverschlüsselte Kartennummern einfach auszuschleusen. Dabei handelte es sich um Einzelhändler aus dem Lebensmittel- und Bekleidungssektor, die PCI-konform waren!
Nach dem gelungenen Einbruch wartete mit der eigentlichen Suche nach den Kreditkartennummern und weiteren personenbezogenen, identifizierbaren Informationen das nächste Problem auf die Hacker. Im Hacker-Jargon die sogenannte „Post-Exploitation“.
Um diese Post-Exploitations-Verfahren besser zu verstehen, müssen Sie auf die dunkle oder zumindest halbdunkle Seite wechseln. Aus diesem Grund entschied ich mich dafür, einen Blick in die Archive der Defcon zu werfen – „der ältesten und größten illegalen Hacking-Konferenz“.
Dabei stieß ich auf eine sehr hilfreiche Präsentation zum Thema, die von zwei Penetration-Testern (kurz Pen-Testern) zusammengestellt wurde. Hier wird darauf verwiesen, dass sich die Hacker „vor dem direkten Blickfeld verstecken“ müssen. In großen roten Buchstaben heißt es: „Machen Sie sich unsichtbar!“. Auf einer anderen Folie wir darauf verwiesen, dass Root-Zugang nicht unbedingt ein wünschenswertes Ziel für Hacker ist, da dies gleichzeitig auch die Benutzerebene ist, die den stärksten Kontrollen unterliegt.
Das ist grundsätzlich ein guter Rat, allerdings können Hacker nicht langfristig die allgemeinen Verhaltensweisen von Benutzern vorhersagen, und ganz nebenbei gibt es auch eine Software, die untypische Verhaltensmuster im Datenzugriff erkennen kann.
Jedenfalls kommen die beiden Pen-Tester zu dem Schluss, dass man als einfacher Benutzer eindringen und dann selektiv Zugangsdaten und Sitzungen übernehmen sollte. Für welchen Benutzer sollte sich ein Hacker also entscheiden? Der Tipp der Pen-Tester lautet, dass man „die Zielumgebung kennen“ und wissen sollte, „wer worauf Zugriff hat“ um „den Speicherort der Daten“ zu identifizieren.
Warum nur kommen mir diese Anforderungen so bekannt vor? Genau! Es handelt es sich dabei um die Kernaussage der IT Data Governance, die jeder Systemadministrator in seiner täglichen Arbeit heherzigen sollte. Es klingt wahrscheinlich etwas widersprüchlich, dass wir es einem Pen-Tester verdanken, eine fundierte Präsentation über Post-Exploitation-Verfahren für Data Governance vorliegen zu haben. Aber beim Hacking steht die Welt Kopf und es sind die Cyberkriminellen, die bessere Arbeit darin leisten als die angegriffenen Unternehmen, wenn es darum geht, den Wert ihrer Daten zu erkennen und die entsprechenden IT-Grundsätze anzuwenden.
Sie sollten „kurzen Prozess“ mit denen machen, die den Bereich Data Governance nicht ausreichend ernst nehmen. Letztendlich müssen Sie den Hackern einen Schritt voraus sein und Ihre Daten tatsächlich kennen.
(Die Defcon 21 startet übrigens diese Woche in Las Vegas und es wird schon bald weitere Informationen zum Thema Post-Exploitation geben.)
Bildquelle: Lynndangeorge
The post Criminal Minds: Denken wie ein Hacker kann Data Governance verbessern appeared first on Varonis Deutsch.