Sicherheitstipps eines Hackers
Kevin Mitnick und die Kunst des Eindringens

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Anlässlich der Veröffentlichung seines neuen Buches sprach der geläuterte Hacker Kevin Mitnick mit vnunet.com über seine Arbeit als Sicherheitsberater.

Sicherheitstipps eines Hackers

Zwischen 1995 und 2000 saß Kevin Mitnick wegen seiner Hacker-Aktivitäten in den USA in einem Bundesgefängnis. Seine Karriere hatte ihm weltweit Titelstories in Zeitungen verschafft und die US-Behörden so sehr in Angst versetzt, dass ihm hinter Gittern sogar der Gebrauch eines Telefons verweigert wurde, nur um sicherzustellen, dass er auf keinen Fall die nationale Sicherheit gefährden konnte.

Inzwischen auf freiem Fuße, zeigt Mitnick sich geläutert: Er hat eine neue, arbeitsintensive Karriere als Mitbegründer von Defensive Thinking, einem Beratungsunternehmen, das Firmen dabei hilft, ihre Security zu testen und zu verbessern. Außerdem hat er mehrere Bücher veröffentlicht und sogar in Los Angeles als Gastgeber einer Radiosendung gearbeitet.

Als er entlassen wurde, durfte Mitnick nicht einmal einen Computer benutzen. Die einzige Einschränkung, die ihm die US-Regierung heutzutage noch auferlegt, ist, dass er bis Januar 2007 nicht von seiner eigenen Lebensgeschichte profitieren darf.

In der Zwischenzeit haben Mitnick und sein Co-Autor William Simon eifrig das Buch The Art Of Intrusion (Wiley Publishing) zusammengestellt, eine Kollektion von wahren Hacker-Stories, die Mitnick sich von Hacker-Kollegen erzählen ließ.

In der Woche, als das Buch in Großbritannien erschien, traf vnunet.com Mitnick in Mailand, wo er vor einer Gruppe von Chief Information Officers über Computer-Sicherheit sprach.

Sie können das Interview auch hier anhören.

Die Geschichten in The Art of Intrusion waren zwar bisher nicht bekannt, aber gibt es denn in der Hacker-Welt noch etwas wirklich Neues?

Das Buch ist für ein generelles Business-Publikum gedacht. Was ich zeigen wollte, war, wie Angreifer heutzutage arbeiten, die gebräuchlichsten Angriffspunkte, welche Ziele Hacker haben, und wie sie ihre Spuren verbergen.

Gibt es neue Formen der Attacke? Nein. Der Krieg um die Computer-Sicherheit bestand früher aus dem Einwählen, jetzt ist es eine Jagd. Früher wählte man Nummern und versuchte, Modems zu finden. Heute ist es das gleiche, aber mit anderen Methoden: Man macht sich auf die Jagd nach Wireless-Netzwerken. Im Kern ist das das gleiche, nichts ändert sich wirklich.

Haben Sie Lieblingsgeschichten in dem Buch?

Der Vegas-Hack [bei dem eine Gruppe von Hackern eine Gerät baute, um das Ergebnis von Video-Pokermaschinen vorherzusagen]. So etwas bringt Aufmerksamkeit, auch wenn es keinen technischen Aspekt in der Art von ?nimm es mit ins Büro und implementiere es? hat.

Ich mag den Einfallsreichtum der Hacker im Vergleich mit der Leichtgläubigkeit der Leute, die eigentlich allwissend sein sollten. Bei dem Texas-Hack [wo sich zwei Gefangene Zugang zu den Computern des Gefängnisses verschafften und sich zum Zeitvertreib alles über Netzwerke beibrachten] war es einfach interessant, dass diese Leute ein ganzes Internet-Netzwerk unter den Augen der Behöreden aufbauten.

Sie hatte die Fähigkeiten, eine Menge von Betrügereien durchzuziehen, aber sie entschieden sich, dieses Erlebnis auf positive Art und Weise zu nutzen, als es herauskam. Beide haben inzwischen Karriere in der Computer-Branche gemacht und sind sauber. Das ist eine Art Erfolgsgeschichte.

Woran erkennen Sie, dass die Geschichten in Ihrem Buch stimmen? Wenn man Hacker ist, wäre es ein ziemlicher Geniestreich, Kevin Mitnick hinters Licht zu führen.

Wir haben eine Menge Geschichten abgelehnt, da wir die Tatsachen nicht richtig überprüfen konnten. Es ist extrem schwierig, in der Hacker-Welt Fakten zuprüfen, da jeder Logs fälschen könnte.

Ich sage ?bring die Logs?, und sie gehen in Notepad und machen sie zurecht. Es könnte eine Geschichte in dem Buch geben, die total falsch ist – das ist möglich -, aber ich habe mein Bachgefühl genutzt und die Leute mehrfach befragt. Es ist möglich, dass ich hereingelegt wurde, aber ich habe mit größtmöglicher Sorgfalt gearbeitet und versucht, die Authentizität der Geschichten zu verifizieren.

Sie haben die Namen in dem Buch geändert und die Zeile nicht identifiziert, weshalb einige Leser wohl skeptisch sein werden.

Zwei Leute aus einer Geschichte in dem Buch sind heute Sicherheitsexperten. Als sie mich beiseite nahmen und die Geschichte erzählten, meinte ich: ?Vor wie vielen Jahren war das??, da ich keine Datumsangaben haben wollte. Und sie antworteten: ?Ach, kürzlich?.

Ich fragte ?Häh? Seid Ihr verrückt? Vor allem, wenn Ihr so etwas mir erzählt.? Auch wenn sie mir vertrauen – man geht ein hohes Risiko ein, wenn man kriminelle Aktivitäten gesteht. Sie könnten ernsthafte Probleme bekommen, wenn jemand herausfindet, was sie getan haben.

Decken sich die Geschichten über Inkompetenz, wie sie die Hacker berichten, mit Ihren eigenen Erfahrungen?

Meine Freundin hat bei einem Fortune-50-Bauunternehmen angefangen, und sie verteilten Passwörter, deren letzte vier Zahlen den letzten vier Ziffern der Sozialversicherungsnummer entsprachen.

Seltsamerweise konnte man sie nicht ändern, und es wurde immer verlangt, dass jemand anders in der jeweiligen Arbeitsgruppe das Passwort ebenfalls kannte, falls man krank wurde und es nötig wurde, auf die E-Mail oder Lotus Notes zuzugreifen.

So funktionieren Unternehmen in Wahrheit: Innen drin denken sie nämlich vor allem über ihre eigene Kernkompetenz nach – das Geldmachen. Es geht immer um die verfügbare Betriebszeit und wie man die Rechner-Ressourcen nutzt, um die Arbeit zu erledigen. Das hat die höchste Priorität und nicht das Nachdenken über die Sicherheit.

In Ihrem Buch sind oft leicht zu erratende Passwörter der Eingangspunkt für Hacker.

Das Passwort-Management scheint bei vielen meiner Kunden nicht adäquat zu sein. Wenn User komplexe Passwörter ändern, schreiben sie sie auf, und immer wieder speichern Leute Passwörter in ihrer E-Mail.

Ich habe kürzlich einen Penetrationstest durchgeführt und Administrator-Rechte erhalten. Darauf habe ich einfach in allen Dokumenten nach Passwörtern gesucht. Ich stellte fest, dass die IT-Abteilung ein Excel-Arbeitsblatt hatte, auf dem sogar die Kombinationen zu den Safes standen. Denn wenn Leute Informationen eingeben, fragen sie sich immer: ?Kommt später jemand daran??

Nahezu jedes Unternehmen, das ich untersuche, speichert Plain-Text-Passwörter irgendwo in einer Datei. Was macht also ein Hacker? Er geht direkt zu den Systemverwaltern, zur IT-Abteilung, direkt zu den Verzeichnissen der Leute, schaut sich ihre Bash-History an und findet dort die SQL-Passwörter.

Man sollte annehmen, dass den CIOs inzwischen die Schwachstellen bekannt sind, auf die Sie hinweisen.

Ich habe kürzlich eine Sicherheitsprüfung durchgeführt. Ich hatte bereits im Vorjahr eine Prüfung vorgenommen und einen Bericht geschrieben, und dieselbe Firma hat mich dieses Jahr wieder angeheuert, da sie Sarbanes-Oxley einhalten muss. Ich bekam die Erlaubnis, um 17 Uhr loszulegen, und innerhalb von drei Stunden hatte ich kompletten Zugang zur gesamten Domain mit Administrator-Rechten – das brachte sie zum Ausflippen.

Peinlich war für sie, dass ich dieselbe Methode benutzt hatte, um hereinzukommen, die ich schon im Vorjahr verwendet hatte – sie hatten nicht auf meine Ratschläge gehört. Viele dieser Firmen machen sich keine ernsthaften Gedanken darüber, wie sie sich besser schützen könnten. Sie wollen nur Bestimmungen einhalten und Betriebsprüfungen überstehen. An ihrer Stelle würde ich eine Beratungsfirma beauftragen, auch die Schwachstellen zu beseitigen.

Stoßen Sie beim Hacken immer wieder auf die gleichen grundlegenden Fehler?

Wenn man eine wirklich sinnvolle Security-Policy etablieren will, muss man P
rozesse einrichten. Man muss die Leute schulen, und man muss die ganzen Komponenten haben. Es wird viel Gel für Firewalls und Systeme zur Entdeckung von Eindringlingen ausgegeben. Sie werden installiert, und dann erwartet man, dass sie sich selbst verwalten, so dass sie oft nicht einmal richtig konfiguriert werden. Und selbst in Firmen, wo ich feststelle, dass sie richtig konfiguriert wurden, nimmt man sich nicht die Zeit, das Aktivitäten-Log zu lesen.

Bei einer anderen Firma habe ich festgestellt, dass sämtliche Router-Passwörter einfache Begriffe aus dem Wörterbuch waren. Und wenn man die Router kontrolliert, kann man eine ganze Firma in die Knie zwingen. Normalerweise benutzen Systemverwalter in allen Systemen ein einziges Passwort. Sie sind faul.

Welchen Rat würden Sie heute einem Systemverwalter geben, der die Sicherheit verbessern will?

Man sollte über Wireless nachdenken, wenn man Wireless-Netzwerke einrichtet. Und man sollte nicht die physische Sicherheit vernachlässigen. In dem Buch gibt es eine Geschichte über einen Hacker, der einfach in einen Konferenzraum ging und sich in einen Wireless-Access-Point einklinkte.
Außerdem sollte man sich nicht in Sicherheit wiegen und nur den Umkreis schützen. Bei der Bank, für die ich gerade einen Penetrationstest durchgeführt habe, war das gesamte Netzwerk ?flach?, was bedeutete, dass ich nur in einen einzigen Rechner hineinkommen musste. Danach konnte ich bei allen anderen Computern im Netzwerk mit jedem Port reden.

Und man sollte die Technologie – Firewalls und Systeme zur Entdeckung von Eindringlingen – wie eine Art Fallstrick nutzen: Denken Sie nicht nur über Schutz nach, sondern auch über Früherkennung.

Das Buch ist in englischer und deutscher Sprache im Buchhandel erhältlich. Der deutsche Titel von “The Art of intrusion” lautet – falsch übersetzt, aber besser verkäuflich – “Die Kunst der Täuschung”