Hacker mieten zu Schnäppchenpreisen

SicherheitSicherheitsmanagement

Es ist heutzutage preisgünstig und effektiv, sich einen Hacker zu mieten. Kein Wunder, dass das Hackerhandwerk boomt, verrät Eric Doyle.

Es ist erstaunlich, wie sehr die Preise in der Hackerbranche fallen. Die ganze „Branche“ wird immer mehr massentauglich: Dienstleistungen und Hacking-Kits können nun zu Schnäppchenpreisen eingekauft werden.

Es gibt keinen Winterschlussverkauf, soweit ist man in der Branche noch nicht, aber die Preise sind gesunken. Für ungefähr 500.000 US-Dollar (zirka 365.000 Euro) können Sie sich die Dienstleistungen eines Teams einkaufen, dass sich in beinahe jedes von Ihnen gewünschte System hineinhackt.

Eigenbau oder maßgeschneiderte Lösungen
Diese Zahl stammt von Daniel Cuthbert (siehe Bild), Assessment-Manager bei der Sicherheitsberatungsfirma SensePost, die auch Penetrationstests durchführt. Vor kurzem teilte er dem Publikum während eines Vortrags bei einer SecureData-Konferenz im Wembley-Stadium in London mit, dass ein solches Team eine Erfolgschance von 90 Prozent hätte. Auch wenn das Zielobjekt sich in den hochsicheren 10 Prozent bewegt, kann ein Hacker-Angriff erfolgreich sein, würde aber dann bis zu 10 Millionen US-Dollar kosten.

Was die Einstiegspreise angeht, gibt es Teams und Einzelpersonen, die alte, nicht gestopfte Sicherheitslücken aufdecken und ausnützen, für nur 100.000 US-Dollar. Darüber hinaus gibt es jede Menge waffenfähige Schadprogramme Marke Eigenbau, die für 150.000 US-Dollar erworben werden können, komplett mit Supportvertrag, wobei die Software sofort einsatzbereit ist – genau wie jedes andere, kommerziell erhältliche Softwarepaket.

Cuthbert ist ein ehemaliger Hacker, der sich seiner Vergangenheit rühmt und nun ein Team von 20 Mitarbeitern leitet, von dem er behauptet, dass es sich in „beinahe alles“ hineinhacken könne. Er ist einer der besten Redner in der Security-Szene, weil er sich nicht scheut, Dinge beim Namen zu nennen und nicht versucht, etwas vor dem Publikum zu verbergen – was die Sicherheitsbranche oft schlecht aussehen lässt, aber momentan stimmen die meisten Kenner der Szene darin überein, dass das keine schlechte Sache ist.

In die Lücke brausen
Die Schwachstelle im Panzer der aktuellen Sicherheitslösungen ist der Browser. Cuthbert behauptet, dass Sicherheit bei deren Programmierung kein Thema gewesen sei und dass die grundsätzlichen Sicherheitslücken, die bereits seit Jahren bestehen, nach wie vor effektiv ausgenutzt werden könnten.
„Hacker interessieren sich für Sie und Ihren Browser, weil Ihr Browser konstruktionsbedingt unsicher ist“, sagte er. „Schwachstellen, die vor 10 Jahren entdeckt wurden, sind immer noch vorhanden, daher interessieren sich die Angreifer nicht für das Betriebssystem, sondern für den Browser, den Sie benutzen.“
Viele Unternehmen sind auf ein zentralisiertes System umgestiegen, in dem der Browser die Hauptrolle spielt, was sich nun als Achillesferse entpuppt.

Um dies zu demonstrieren, wies Cuthbert darauf hin, dass die Webseite XSSed, die bekannte XSS-Sicherheitslücken dokumentiert, zeige, dass von den beinahe 40.000 Schwachstellen im Bereich Cross-Site-Scripting (XSS) im Internet nur 2500 behoben worden seien.

„Browser waren nie für die Aufgaben vorgesehen, die sie heute erfüllen, und sie sind konstruktionsbedingt unsicher – Microsoft hat dies zugegeben und Google hat dies zugegeben – das ist die Sachlage bei den Browsern heute.“

Da diese einfach zugänglichen Schwachstellen bereits seit so langer Zeit existieren, sind sie gut dokumentiert und man muss kein Genie sein, um sie auszunutzen. Cuthbert glaubt, dass LulzSec kein Team von besonders begabten Hackern ist, sondern dass sich die Team-Mitglieder einfach das Wissen angeeignet haben, wie man die einfach zugänglichen Schwachstellen der Ziel-Webseiten ausnutzen kann. Die Gruppe hat nur deswegen soviel Aufmerksamkeit erregt, weil sie es schaffte, die Startseiten der Web-Präsenzen der Boulevard-Presse unter Ausnutzung von Sicherheitslücken zu manipulieren.

Vermehrt externe Bedrohungen
Es sind die externen Hacker, die das größte Problem darstellen. Auf derselben Konferenz teilte Etienne Greeff, Leiter der Abteilung für professionelle Dienstleistungen bei SecureData, mit, dass 92 Prozent der Hackerangriffe nun von außerhalb der Unternehmen stammen würden. Es sei möglich, dass Mitarbeiter wissentlich oder unwissentlich von den Hackern benutzt würden, um sich Zugang zu verschaffen, aber in der Regel handele es sich dabei nicht um die eigentlichen Täter.

Finanzielle Motive seien der Grund der Angriffe, sagte Cuthbert. „Wenn Verbrechen sich nicht auszahlt, bist du kein guter Verbrecher“,  ließ er verlauten.

Und es ist die Aussicht auf das große Geld, die organisierte Verbrecherbanden anzieht und mitmischen lässt. Das Bestechen von Mitarbeitern, um an Informationen zu gelangen, das Mieten von Hackern mit Fachkenntnissen, um gezielt Informationen zu stehlen, das Verkaufen der Informationen oder die Verwendung derselben zur finanziellen Bereicherung – das sind heutzutage die Hauptaktivitäten, wenn es um das Hacken von bekannten Firmen geht.

RSA, die auf IT-Sicherheit spezialisierte Tochterfirma von EMC, behauptet, dass nur einige wenige Kunden der Firma erfolgreich angegriffen worden seien nach dem sensationellen Diebstahl der Daten von ihrer SecurID-Webseite. Cuthbert hatte dazu eine andere Meinung. Er sagte, dass bei der von RSA veranstalteten, geschlossenen Konferenz in den USA, bei der viele hochrangige Unternehmen und Organisationen eingeladen waren, darunter Banken, Strafverfolgungs-Behörden sowie Sicherheitsexperten von militärischen Einrichtungen und Großunternehmen, bekannt wurde, dass 761 Unternehmen nach der Hacker-Attacke erfolgreich angegriffen worden seien.

Natürlich können weder RSA noch Cuthbert ihre Behauptungen mit Beweisen belegen, aber es wird deutlich, dass es einen aufnahmebereiten Markt gab für die Diebesbeute, unabhängig davon, wer das SecurID-System aufs Korn genommen hat.