Hacker Angriffe erklärt!

Inhalt

Sobald man den Begriff Hacker in den Medien hört, wird er immer mit schlechten Taten verglichen – richtig ist das so aber nicht. Hacker sind einfach Technisch-Interessierte die durch das Finden von Schwachstellen oder das Entwickeln neuer Programme das Internet besser machen wollen. Wohingegen Cracker böse Absichten haben. Zum Beispiel Daten stehlen um damit Geld zu machen oder Systeme komplett lahm zu legen.

Ich möchte euch dafür sensibleren vorsichtig und skeptisch im Netz zu sein. Denn wie einmal gesagt wurde: „Der beste Weg sich zu schützen ist zu wissen wie angegriffen wird.“.

Von wem das Zitat stammt? Keine Ahnung, ich habe es mir grad ausgedacht – aber es macht wirklich Sinn.

Das prüfen, ob ein System sicher ist oder nicht, ist Alltag eines IT-Sicherheitsmitarbeiter. Man nennt diese Tests auch Penetrationstests. Und um sicher zu stellen, ob ein System sicher ist, führt man bestimmte Angriffe aus. Ich habe hier ein Login, der Zugriff zu den Videos von BYTEthinks gibt, das wir gutwillig auf Schwachstellen prüfen sollen. Zuerst einmal prüfen wir die größte Sicherheitslücke: den Menschen.

Phishing 

Wir beginnen mit so genannten Phishing-Mails. Das sind vermeidlich echte Mails die den Nutzer auffordern auf einen Link zu klicken oder etwas Herunterzuladen und zu installieren. Dadurch verschaffen sich dann die Hacker den nötigen Zugriff. Manchmal führt der Link auch zu vermeidlich echten Seiten mit z.B. einem Passwort oder PIN-Feld. Nach dem abschicken werden die Eingabedaten an den Angreifer weitergeleitet. Dieser Trick funktioniert bei erschreckend vielen Leuten. Eine Studie von Google und der Universität Kalifornien hat 2014 gezeigt das 45% der getesteten Leute auf so etwas herreinfallen.

Denn das gemeine ist: Man kann jeden beliebigen Absender in der Mail einfügen. Und das ist keine hohe Kunst der Informatik *hust* Sei es Präsident Barack Obama oder, was noch schlimmer ist, Freunde von dir. Sobald man an den Namen und E-Mail deiner Freunde gekommen ist, kann man sie nutzen um zum Beispiel eine vertrauensvolle E-Mail mit „Urlaubsfotos“ zu faken. Alles was man dafür braucht ist etwas HTML und PHP-Code.

Phishing: Schutz

Um sich vor so etwas zu schützen, helfen Programme wie Antiviren-Software, die einen darauf aufmerksam machen oder einfache Regeln die man beachten sollte: Macht die E-Mail Sinn? Warum sollte mir jemand Urlaubsfotos per E-Mail schicken wenn wir alle Whatsapp haben? Oder warum ist die E-Mail ohne Grund auf Englisch? Fahrt mit der Maus über die Links um sicherzustellen das er zu einer seriösen Seite führt.

Man in the Middle

Okay… auf die E-Mail ist er nicht drauf angesprungen. Dann versuchen wir etwas Anderes. Und zwar eine „Man in the Middle-Attack“. Dafür müssen wir uns im selben Netzwerk befinden. Mit dieser Attacke ist es möglich den Datenverkehr des Netzwerks mitzulesen oder gar umzuleiten. Das funktioniert in dem man die sogenannte ARP-Tabelle eures Router, dem Zugang zum Internet, so verändert das der Datenverkehr erst über den Mann zwischen euch laufen muss, bevor er ins Internet geleitet wird. In der Fachsprache nennt man das „Spoofing“.

Es können so Passwörter, Benutzernamen, besuchte Seiten oder andere Zugangsdaten mitgelesen werden. Das sieht dann so aus. Das hier gezeigte Programm darf inzwischen nur für Bildungs-Zwecke benutzt werden *hust* Wireshark. Was ist denn nur heute mit dem Husten los? Man nennt dieses „Mitlesen“ auch „Sniffing“. Ein anderer Angriff dieser Art wäre eine Umleitung auf eine Fakeseite auf der wieder das Passwort eingeben werden soll.

Nun gut, man lädt den Hacker nun nicht zum Kaffee ein und gibt ihm den WLAN Schlüssel – aber man ist selber oft in öffentlichen WLAN Hotspots angemeldet. Und auch da ist das möglich. Und wenn das WLAN Passwort nicht sicher genug ist… dann brauch der Hacker nicht mal eine Einladung. 

Man in the Middle: Schutz

Schützen kann man sich gegen das mitlesen, in dem man verschlüsselt überträgt. Ende-zu-Ende Verschlüsselung. Da wäre im Webbrowser das https:// und bei E-Mails die SSL Einstellung. Das heißt die übertragenden Daten werden beim Absendern unleserlich gemacht und erst am Ziel leserlich gemacht.

Brute Force

Und genau das hat auch der YouTuber getan. Den Login-Vorgang konnten wir zwar mitlesen, aber er ist verschlüsselt. Wir können nur Kaudawelsch lesen. Dann kommen wir nun zur letzten möglichen Angriffsattacke. Eine die immer funktioniert. Man brauch nur genug Zeit. Sehr viel Zeit. Nämlich Brute-Force

Das gewaltsame Aufknacken von Zugangsdaten in dem man alle – wirklich alle –Kombinationen von Länge und möglichen Zeichen probiert bis es klappt. A, B, C, AA, AB, AC, AAA, AAB… und so weiter. Man kann sich vorstellen, dass das etwas länger dauert. Deswegen verwendet man gerne auch eine Dictonary-Attacke – also Wörterbuch-Attacke. Dabei werden bestimmte Wörter aus einer Liste durchprobiert. Zum Beispiel häufig verwendete Wörter oder Passwörter

Für die häufig genutzten Passwörter gibt es übrigens eine Liste. Und ja… password ist das beliebteste Passwort. IST DAS EUER ERNST?! Sollte dein Passwort dabei sein oder ein Teil davon beinhalten solltest du dir Gedanken machen… Kleiner Hinweis am Rande: Nur weil bei dem Formularfeld „Password“ drinne steht, heißt das nicht das ihr „password“ eintippen sollt.

Brute Force: Schutz

Richtig schützen kann man sich vor so einer Attacke nicht. Aber man kann es dem Angreifer sehr schwer machen – in dem man ein gutes Passwort wählt. Die Anzahl der Kombinationen die im schlechtesten Fall geprüft werden müssen beträgt: Anzahl möglicher Zeichen hoch die Länge des Passworts.

Nehmen wir mal das Passwort „Anna82“. Das Passwort besteht aus Groß, Kleinbuchstaben und Zahlen. Also 62 verschiedene Zeichen. Die Länge beträgt 6. Dafür würde ein moderner Computer je nach Anwendung und im schlechtesten Fall 1 ½ Stunden benötigen. Erweitern wir das Passwort nur um 2 Zeichen, sind wir schon bei 253 Tagen um alle Kombinationen zu prüfen. Deswegen setzen auch viele Registrationen bestimme Zeichen und Zeichenlängen voraus. Aber denkt dran: Mit der Wörterbuch-Attacke wäre der beliebte deutsche Name „Anna“ schnell entlarvt. Ach ja, die genaue Länge des Passworts beim klassischen Brute-Force zu wissen, bringt den Angreifer nur 1% schneller zum Ziel – wie diese Rechnung zeigt.

Es gibt sogar ganze Analysen darüber wie Passwörter von Nutzern gewählt werden. 61% aller Passwörter bestehen nach dieser Auswertung entweder NUR aus einem Wort, Personennamen, einer Zahl oder Platznamen oder halt eine Kombination aus diesen. Wirklich zufällige Passwörter nutzen weniger als 1%. Ein Tipp für das sicherste Passwort? Wähle es so, das du es dir selber nicht mehr merken kannst.

Eine coole Lösung dafür ist die Passwort Karte. Die druckst du dir einfach aus und merkst dir nur wie du dein Passwort abliest. 4. Zeile von links nach rechts oder von Spalte 2 – 4 von unten nach oben. Selbst wenn jemand deine Karte hat, dauert es ewig die immer wieder zufällig generierten Werte pro Karte auszuprobieren. Link dazu in der Videobeschreibung oder hier oben rechts.

Okay ich geb aus. Wir bekommen immer nur die Fehlermeldung: „The password is invalid.“. Moment mal… „The-password-is-in-valid“. Ne oder? … Na klar!

Da man sich nicht nur auf einen Schutz verlassen sollte, gibt es inzwischen sogenannte 2-Wege-Authentifizierung. Das ist das zum Glück schon Standard bei vielen Seiten (YouTube, Twitter, Facebook…). Es gibt 3 Arten von Authentifizierung Möglichkeiten. Von Wissen, Besitz und biometrische Merkmale sollte man 2 verschiedene auswählen. Zum Beispiel ein Passwort als Wissen und eine Handy-SMS als Besitz. Der Hacker brauch dann beide Wege.

Kommen wir zurück zu dem geschützten Bereich. Wir könnten nun böse Din… hey Moment mal… was tust du da? Nein… das tust du nicht…

Sachen zerstören! 

[Wiederherstellung…] Musste das nun sein? Naja, das waren natürlich nicht alle Angriffsstrategien – aber die, die als Nutzer in meinen Augen am Gefährlichsten sind. Es gibt noch mehr Strategien um gutwillig Anwendungen auf Schwachstellen zu prüfen (SQLinjection, Buffer Overflow…) aber auch böse Wege um deinem System zu schaden (Würmer, Viren, Trojaner, DDos) oder Geld mit dir (Adware, Spam) oder deinen Informationen zu machen (Spyware).

Und das ist immer ein Krieg der Antiviren-Firmen (Antivir -> wichtig), die solche böswilligen Angriffe verhindern wollen und den Crackern, die Urheber solcher Schäden. Aber wie das Cracker machen zeige ich euch nicht. Mir war es wichtig euch zu zeigen wie man sich schützt. Deswegen kommt nun zum Schluss der ultimative Weg euch im Internet zu schützen: Zieht das Internet-Kabel.