Читать книгу #pwned - Holger Junker - Страница 9

Mittwoch, 09:48, Berlin

Оглавление

Heute musste Hubert einen Vortrag auf einer Konferenz der Allianz für Cyber-Sicherheit halten. Früh war er in Berlin aus dem Flieger gestiegen und mit dem Taxi zum Konferenzort gefahren. Jetzt hatte er noch etwas Zeit bis zu seinem eigenen Vortrag. Über die Möglichkeiten zum Schutz vor Cyber-Angriffen sollte es bei dieser Veranstaltung gehen. Hier war Hubert schließlich Spezialist. Solche Vorträge zu halten und dabei im Vergleich zu den anderen Rednern herauszustechen, war wichtig, um neue Kunden zu akquirieren. Eigentlich mochte Hubert diese Konferenzen nicht besonders. Zu oft hatte er Veranstaltungen besuchen müssen, bei denen die Marketingmenschen versuchten, über IT-Sicherheit zu reden und wo zwar die richtigen Unternehmen unter den Zuhörern waren, aber die falschen Mitarbeiter. Die Idee der Allianz hingegen mochte Hubert, denn hier bot der Staat eine Plattform zum Austausch der Unternehmen untereinander, bei der Marketing und Umsatzgenerierung nicht im Vordergrund standen.

Der erste Vortrag wurde von einem Berater eines Mitbewerbers gehalten. Als eine der ersten Folien präsentierte er Screenshots der Webseite shodanhq.com. Der Referent erzählte gerade, dass man mit dieser Suchmaschine Industrieanlagen hacken könne.

Mit Shodan konnte man tatsächlich über das Internet erreichbare Dienste und Geräte auffinden. Suchte man beispielsweise nach „IIS“, so fand man weltweit viele Instanzen des Webservers aus dem Hause Microsoft. Das Gleiche funktionierte für Heizungen, wie gerade erst ein deutscher Hersteller leidvoll hatte erfahren müssen, für Solaranlagen, Gebäudesteuerungen, große Straßenbaumaschinen, vieles mehr und eben auch für Industrieanlagen. Eigentlich machte diese Suchmaschine nichts anderes, als das Internet sukzessive zu scannen, die vom jeweiligen System zurückgemeldeten Informationen in einer Datenbank zu speichern und diesen Datenbestand über eine Webseite mit Suchfunktion anzubieten. Das nahm einem Angreifer zumindest den Aufwand ab, das Internet selbst zu scannen. Wenn die dort verzeichneten Systeme nicht vor unbefugtem Zugriff geschützt waren oder ausnutzbare Schwachstellen aufwiesen, dann konnte man das für einen Angriff missbrauchen. Und solche Systeme gab es massenweise – nicht tausend- sondern millionenfach.

»Mit dieser Webseite kann jeder ohne technische Fähigkeiten Industrieanlagen hacken«, so der Vortragende.

»So ein Quatsch«, dachte sich Hubert. Finden konnte man Systeme mit der Suchmaschine, aber die unberechtigte Benutzung einer ungeschützten Webschnittstelle gleich Hacken zu nennen war etwas weit hergeholt. Hacken war doch meist etwas anspruchsvoller, aber ein Berater, der IT Sicherheit nur aus Büchern kannte, wusste es eben nicht besser. Vermutlich war das wieder einmal einer der Berater, die mit viel Gerede viel Geld verdienten, aber nicht einmal eine E-Mail mit PGP verschlüsseln konnten.

Ach ja, Gott und die Welt redete derzeit über Shodan. Manchmal schafften es Neuheiten, in aller Munde zu sein, auch wenn sich dahinter eigentlich nichts Besonderes verbarg. Das erinnerte Hubert irgendwie an die Kopfhörer, die er eben noch bei einem jüngeren Konferenzbesucher gesehen hatte. Gegründet von einem ehemaligen Rapper stellte die Firma Kopfhörer her, die technisch und vor allem qualitativ deutlich hinter der Konkurrenz zurückblieben, aber aufgrund einer allgemein akzeptierten Coolness und einem gut gewählten Namen einen riesigen kommerziellen Erfolg hatten. Schon in der Zeit vor iPod, iPhone und iPad hatte Hubert das immer den Apple-Effekt genannt. Benutzer dieser Kopfhörer waren einfach vom Produkt überzeugt und die wenigsten hinterfragten dessen Qualität. So stellte wohl auch niemand den Sinn dieser Suchmaschine in Frage oder ob die Benutzung einer solchen als Hacken zu bezeichnen war oder nicht.

Bevor Hubert sich noch weiter über die Ausführungen des Beraters aufregte, nutzte er das auf der Konferenz kostenlos verfügbare WLAN, um selbst noch einmal mit Shodan zu experimentieren. Gestern Abend hatte er sich noch den Kopf über Geschäftsmodelle zerbrochen. Ob sich wohl in Zusammenhang mit Shodan eine solche Möglichkeit zum Nebenverdienst ergeben könnte? Schließlich wollte sich Hubert nicht aufgrund seiner bisherigen Meinung über Shodan eine potenzielle Geschäftsidee entgehen lassen. Immerhin konnte man auch mit durchschnittlichen Kopfhörern im coolen Design Geld verdienen.

Um mit dieser Suchmaschine Geld zu verdienen, brauchte es zwei Dinge. Einmal die Opfer, deren Systeme sabotiert oder von denen Daten gestohlen werden konnten. Zum anderen jemanden, der für die Sabotage bzw. die gestohlenen Daten zahlen würde.

»Wie war das... mit dieser Suchmaschine solle man Industrieanlagen hacken können? Das wäre natürlich ein interessantes Ziel.«, dachte sich Hubert.

Die Opfer wären hilflos. Schließlich waren mit industriellen Anlagen ehemals auf sogenannten sicheren Inseln betriebene kritische Anlagen irgendwann vernetzt und an die TCP/IP-basierten Netze und schließlich das Internet angebunden worden. Aufgrund der Charakteristika wie hohen Anforderungen bezüglich Echtzeitverhalten und Anlagenverfügbarkeit waren aus der klassischen IT bekannte Sicherheitsmechanismen wie Virenschutz oder das zeitnahe Schließen von Sicherheitslücken durch Einspielen von Updates und Patches dort nicht anwendbar. Wer also so blöd war, eine Industriesteuerung direkt mit dem Internet zu verbinden und so in Shodan gefunden werden konnte, der verdiente eine gewisse Bestrafung. Als Anlagenbetreiber in Shodan aufzutauchen war quasi der Darwin-Award der IT. Verlockend also, aber Hubert hatte Bauchschmerzen bei dem Gedanken, Systeme anzugreifen, bei denen ohne triftigen Grund ein massiver Schaden an Maschinen oder gar Menschen oder der Umwelt zu befürchten war.

Hubert fütterte die Suchmaschine mit weiteren Suchaufträgen. Gewinnbringend waren Fileserver und Datenbanken – hier lagen oft die Daten, die man am besten zu Geld machen konnte. Sozusagen die Kronjuwelen der Unternehmen, vor deren Verlust Hubert seine Kunden stets warnte. Aber Datenbanken und interne Dateiablagen würde ja niemand nach außen an das Internet anbinden, oder?

Durch die Suche nach 'mysql' wurde Hubert eines besseren belehrt. Shodan kannte 41.671 Anwärter auf den Darwin-Award der IT, die eine Datenbank auf diese Art exponierten. Nicht jeder dieser Treffer war vermutlich kritisch. Es gab sicherlich Dopplungen und false positives, also Systeme die fälschlicherweise als Datenbank vermutet wurden, aber es dürften genügend Datenbanksysteme übrig bleiben, um damit ein Geschäftsmodell zu befüttern.

Datenbanken waren klassische IT, aber was gab es sonst noch, z.B. an Embedded Geräten, also eben Steuerungskomponenten, Ampelanlagen, Windräder und sonstigem? Doch halt, in diese Richtung wollte Hubert ja gerade nicht gehen. Wie viele Drucker konnte man wohl über diese Suchmaschine finden? Hubert probierte einfach mal „Hewlett Packard“ als Suchbegriff, schließlich war dies einer der größten Hersteller.

»Wow, was sagte diese Suchmaschine? Allein in Deutschland mehrere tausend Drucker einer Modellreihe direkt mit dem Internet verbunden?«

Hubert rief im Browser die IP-Adresse auf, die für den ersten Eintrag in den Suchergebnissen angezeigt wurde. Ohne Login oder andere Sicherheitsmechanismen hatte er Zugriff auf die Administrationsoberfläche des Druckers. So etwas hatte sich Hubert noch nie bewusst angeschaut, da er Drucker bislang nur aus der reinen Nutzersicht betrachtet hatte. Er prüfte die auf der Weboberfläche verfügbaren Funktionen. Dort fand sich auch eine Möglichkeit, um Dokumente zu Drucken und die zuletzt gedruckten bzw. gescannten Dokumente herunterzuladen. Das klang für Hubert sehr vielversprechend. Drucken, das erledigte Hubert lieber zu Hause auf dem eigenen Drucker, aber von anderen gedruckte Dokumente würde er sich gerne näher anschauen. Die nächsten beiden Einträge waren ebenfalls Treffer. Hubert konnte es kaum glauben. Es war immer wieder erdrückend, wenn man feststellt, dass die Menschen, von denen man annahm, dass sie sehr dumm waren, in Wirklichkeit noch viel dümmer waren.

Hubert juckte es in den Fingern, mehr mit Shodan auszuprobieren. Das sollte er aber besser vertagen. Ein freies WLAN war nicht der richtige Weg, um dies zu tun. Zu groß war die Gefahr, dass im offenen Netz der Konferenz der Datenverkehr mitgelesen würde. Schließlich war der Saal gefüllt mit Menschen, die nicht nur eine Affinität zu IT allgemein, sondern speziell zu IT-Sicherheit hatten. Hubert wusste nur zu genau, welche Risiken diesbezüglich bestanden. Zudem war natürlich das Risiko eines sogenannten Shoulder Surfers gegeben, also dem Umstand, dass ihm jemand über die Schulter schauen und dabei sein Tun entdecken könnte. Hubert hatte zwar eine Blickschutzfolie, welche den Blickwinkel auf sein Display beschränkte und so weitgehend vor neugierigen Blicken schützte, aber ein Restrisiko verblieb. Bei diesem Gedanken lies Hubert seinen Blick durch die Reihen vor ihm schweifen. Nur etwa jeder Zehnte hatte eine solche Blickschutzfolie. Für Menschen aus dem Bereich der IT-Sicherheit war dies eine miserable Quote. Wenn schon bei den Fachleuten die Sensibilisierung derart schlecht war, konnte man sich ausmalen, wie dies um den Querschnitt in der gesamten Bevölkerung bestellt war.

Langsam wurde es Zeit für Hubert, sein Notebook vorzubereiten. Der nächste Vortrag würde von Lukas Gerber, Security Consultant von Netopsec, gehalten werden. In den letzten Monaten hatte Hubert eine besondere Abneigung gegen diesen Konkurrenten entwickelt.

Gerber war in der Branche bekannt für seine spektakulären Live Hacks. Egal ob Mobilkommunikation, Webserver oder Industrieanlage – Gerber hatte zu jedem Thema ein regelrechtes Feuerwerk von Hackervorführungen parat. Der Knackpunkt daran war jedoch, dass ein Großteil von Gerbers Shows eben genau das war, nämlich Show. Viele Dinge waren in der Praxis überhaupt nicht möglich oder zumindest nicht so, wie er es demonstrierte. Vor einigen Monaten hatte Gerber eine solche Show zum Mobilfunk abgezogen. Dabei erwähnte er, dass er eine Basisstation, wie sie von den Netzbetreibern überall auf der Welt betrieben werden, nachgebaut hatte. Diese Station stand hinter ihm auf der Bühne, war aber von Gerber mit Verweis auf die rechtliche Brisanz nicht wirklich demonstriert worden. Hätte er diese eingeschaltet, sollten sämtliche Mobiltelefone eines Providers sich nicht mit der echten Basisstation verbinden, sondern mit Gerbers Imitat. Technisch war dies durchaus möglich. Eine Gruppe junger Forscher hatte das auch vor einiger Zeit tatsächlich bewiesen und die zugehörigen Softwarekomponenten frei zugänglich gemacht. Und für fremde Nachrichtendienste gehörten solche Methoden ohnehin zum Standardrepertoire. Nach dem Vortrag von Gerber war Hubert einer der vielen Zuhörer gewesen, die sich in Richtung Podium begeben hatten. Als Hubert die Basisstation angefasst hatte, war Gerber nervös geworden. Doch Hubert hatte schon bemerkt, dass es sich nur um ein leeres Gehäuse mit zwei Antennen handelte. Es war ein Schwindel. Und Hubert hatte Gerber auffliegen lassen, was auch die anwesenden Journalisten mitbekommen hatten. Gerber war außer sich gewesen und hatte mit Hubert im Nachgang noch eine hitzige Diskussion geführt, in deren Verlauf er sich stark im Ton vergriffen hatte. Lange hatte sich Hubert überlegt, wie er Gerber dafür eine Lektion erteilen konnte. Über mehrere Wochen hatte er sich vorbereitet auf genau diesen Moment.

Neben seinen USB-Stick für den WLAN-Zugriff steckte Hubert eines seiner Lieblingswerkzeuge der letzten Tage, den rfcat-Dongle, in einen der freien USB-Ports und öffnete ein neues Terminalfenster. Er wusste, dass das Skript, an welchem er in den letzten Tagen geschrieben hatte, funktionieren würde. Die letzten Unbekannten, die ihm einen Strich durch die Rechnung hätten machen können, waren die Frequenz und die Modulation, welche die Mikrofonanlage der Konferenz verwendete. Bei dem Techniktest, den Hubert vor dem offiziellen Start der Veranstaltung für seine eigene Live Demo durchgeführt hatte, hatte er diese letzten Werte verifizieren können. Der Techniker hatte den merkwürdigen Tönen, die aus den Lautsprechern zu hören gewesen waren, wenig Beachtung geschenkt. Schließlich konnte es beim Einrichten der Technik vor Ort immer mal wieder zu Schwankungen kommen. Hubert hatte die korrekte Frequenz aber mit seinem Handy verifizieren können. Dazu genügte ihm sein DVB-T Stick, der eigentlich zum Fernsehen auf dem Computer per USB angeschlossen werden konnte. Mit einigen technischen Kniffen war es bei diesem Modell aber möglich, den darin eingebauten Realtek-Chip RTL2832U dazu zu bringen, statt des Fernsehprogramms beliebige Signale in ähnlichen Frequenzbereichen zu empfangen und mit einer geeigneten Software zu decodieren. Im Zuge seiner Hackversuche an Gegenständen des täglichen Lebens war es Hubert damit sogar schon einmal gelungen, das Babyphone von Janus zu belauschen. Seither war Karina immer darauf bedacht gewesen, das Babyphone auszuschalten, wenn es nicht gebraucht wurde. Es gab eben doch Fälle, wo Sensibilisierung etwas bewegte.

Lukas Gerber begann mit seinem Vortrag. Wie üblich verwendete er erst einmal einige Minuten dafür, sich selbst inklusive seiner Hobbies vorzustellen. In Huberts Augen eine Frechheit, denn dafür waren die Konferenzteilnehmer nicht angereist. Es fiel Hubert schwer, sich so lange zu gedulden, bis Gerber auf das Thema Sicherheit zu sprechen kam. Kaum hatte er endlich mit seiner Live Demonstration begonnen, begann Hubert zu tippen.

Hubert führte das erste seiner vorbereiteten Skripte aus.

./pa_hack.sh -f 8330055 -m am -i greeting.wav.coded

Nachdem er die Eingabetaste betätigt hatte lehnte sich Hubert zurück und versuchte, sich jedes Zeichen von Schadenfreude zu verkneifen. Gleichzeitig war er doch nervös aus Sorge, dass ihm jetzt ein Fehler unterlaufen könnte.

»Meine Damen und Herren, bitte bewahren Sie Ruhe während der nun folgenden Cyber-Attacke.«, sagte eine maschinenartige Stimme aus den Lautsprechern auf der Bühne. Die Zuhörer waren etwas verwirrt, denn offensichtlich war es nicht Gerber, der da gesprochen hatte.

Der Moderator der Konferenz blickte erst zum Vortragenden am Rednerpult, danach zu dem Techniker, der die Audioanlage betreute. Beide hatten nur mit den Schultern gezuckt, hatten aber keine Erklärung für das, was gerade geschehen war.

Die meisten der Zuhörer dachten an eine kreative Live-Demonstration, die Gerber nun zum Besten geben würde. Als die Zuhörer die Ratlosigkeit von Gerber bemerkten, begannen die Ersten zu lachen.

Hubert tippte erneut einen Befehl auf seinem Notebook.

Auf dem vom Beamer projizierten Bild von Gerbers Desktop wurde die Powerpoint-Präsentation von einem großen Warnfenster überlagert.

»Herr Gerber, Ihr System ist schlecht geschützt. Wie bin ich wohl reingekommen? Welche Daten habe ich gestohlen? Welche Malware hinterlegt? Können Sie wenigstens eine dieser Fragen beantworten?«

Das Gelächter im Plenum war deutlich stärker als es sich Hubert je ausgemalt hatte.

Lukas Gerber war sprachlos. Hektisch tippte er auf der Tastatur seines Notebooks herum, ohne dass jedoch die angezeigte Nachricht verschwand.

»Vorführeffekt, was?«, rief einer der Zuhörer, was das Gelächter der anderen nur noch mehr befeuerte.

Ein zweites Fenster wurde geöffnet, welches eine weitere Nachricht enthielt:

»Herr Gerber, sagen Sie auf Wiedersehen zu Ihren gespeicherten Dokumenten.«

Währenddessen machte Hubert ein Photo mit seinem Smartphone, auf dem Gerber die absolute Verzweiflung sehr gut anzusehen war.

Wenige Augenblicke nachdem dieser Text zu Lesen gewesen war, wurde der Rechner heruntergefahren. Offensichtlich war es aber nicht Lukas Gerber gewesen, der dafür verantwortlich war.

Ein letztes Mal tippte Hubert einen Befehl in das Terminalfenster ein.

./pa_hack.sh -f 8330055 -m am -i goodbye.wav.coded

»Wie sieh sehen benötigt ein Angreifer nur wenige Minuten, um ein unzureichend geschütztes System zu kompromittieren. Überlegen Sie, wen Sie mit dem Schutz Ihrer IT beauftragen.«, klang erneut die mechanische Stimme aus den Lautsprechern.

Hubert klappte sein Notebook zu. Alle Augen waren auf die Bühne und den armen Herrn Gerber gerichtet gewesen. Niemand hatte Hubert tippen sehen.

Der Zorn über diesen Gerber sollte für Hubert von nun an der Geschichte angehören. Während er selbst seinen Computer schon in den schwarzen Rucksack gepackt hatte, rätselte Gerber immer noch darüber, was ihm da gerade widerfahren war. Dabei wurde er von einer Traube von Kongressbesuchern umringt – alle miteinander voller kritischer Fragen, die Gerbers Stimmung nicht gerade verbessern würden.

Hubert ging auf Gerber zu. Er wollte ihm in die Augen schauen und diesen Moment für immer festhalten. Doch was sollte er ihm sagen? Ein besonders schlauer Spruch wäre die Krönung für seine Aktion. Doch während Hubert den Hack selbst akribisch geplant hatte, war ihm dieser Aspekt entgangen. Doch es bedurfte gar keinem Spruch. Als sich die Blicke von Hubert und seinem Opfer trafen, entglitten Gerber die Gesichtszüge. Gerber war sich offensichtlich sicher, dass er hinter dem Angriff stecken musste. Huberts Kontrahent war so konsterniert, dass er wie gelähmt war.

Nach dieser Aktion hatte sich Hubert eine Zigarette verdient. Beim Hinausgehen machte er noch einige Bilder von Gerber und der hitzig diskutierenden Konferenzbesucher, die sich um ihn herum gesammelt hatten. Eines der Photos veröffentlichte er auf Twitter mit dem Text: „Sicherheitsexperte während Live-Demo gehackt. Es kann jeden Treffen. #pwned“

Vor dem Gebäude standen mehrere Konferenzteilnehmer und unterhielten sich über das, von dem sie soeben Zeuge geworden waren.

»Oh mann, das war vielleicht eine peinliche Vorstellung.«, amüsierte sich einer der Raucher.

»Das ganze Thema Security ist so komplex, dass noch nicht mal ein anerkannter Experte die eigene Absicherung hinbekommt.«, fügte ein Anderer hinzu.

»Naja, eigentlich ist es gar nicht so kompliziert. Vermutlich wieder einer dieser Angriffe, der mit einfachen Mitteln hätte verhindert werden können.«, gesellte sich Hubert zur Diskussion hinzu.

»Aus der Erfahrung vieler, vieler Vorfälle kann ich das bestätigen.«, sagte die junge Blondine, die Hubert schon zuvor aufgefallen war.

Hubert schaute auf das Namensschild der Frau: „Jana Schmidt, Bundeskriminalamt“

»Ach, das BKA. Dann können Sie ja direkt die Ermittlungen aufnehmen.«, witzelte Hubert.

Die Frau schaute ihn skeptisch an. Sie fühlte sich scheinbar angegriffen von Huberts Kommentar. Dabei hatte er es gar nicht so gemeint. Vor einigen Jahren noch sah Hubert die Strafverfolger im Bereich der Cyber-Kriminalität als Bauern mit Mistgabeln an, während es sich bei den Tätern um futuristische Spezialkräfte mit Plasmakanonen handelte. Doch dieses Ungleichgewicht hatte sich in den letzten Jahren verflüchtigt.

»Verstehen Sie mich nicht falsch. Ich schätze durchaus das BKA und dessen Engagement gegen Cyber-Crime.«, fügte Hubert hinzu.

»Wir konzentrieren uns meist auf große Fälle. Aber interessant war das eben schon.«

»Wenn der Angreifer alles richtig gemacht hat, findet man ihn ohnehin nicht.«

Die Beamtin schaute auf Huberts Namensschild.

»So so, Herr Jansen. Was meinen Sie denn, wie der Angriff passiert ist?«

Vorsicht! Jetzt durfte Hubert es nicht übertreiben.

»Nun, Frau Schmidt, ich weiß, wie ich es gemacht hätte. Aber das ist Betriebsgeheimnis.«

»Aha, klingt ja fast nach Täterwissen.«

Hubert war sich nicht sicher, ob die Frau nur einen Witz machte, mit ihm flirtete oder ob in ihr ein Verdacht aufkam.

»Nur wer die Fähigkeiten eines guten Angreifers hat, kann auch wirklich gut verteidigen. Genau das ist das Problem an vielen Beratern.«

»Und ein guter Angreifer ist Ihrer Meinung nach nicht aufzuspüren? Gibt es das perfekte Cyber-Crime?«

»Ich würde das nicht verallgemeinern. Aber in diesem Fall glaube ich nicht an eine erfolgreiche Spurensuche.«

Hubert drückte seine Zigarette im Aschenbecher aus.

»So, mal schauen, ob es drinnen schon weitergeht. Hat mich gefreut, Frau Schmidt.«

Hubert hatte den Moment genug ausgekostet. Er wollte sein Glück jetzt nicht überstrapazieren. Beim Hineingehen ließ er die Worte der jungen Frau Revue passieren. Ein perfektes Cyber-Verbrechen hatte er nicht begangen – zumindest nicht, wenn ein direkter finanzieller Gewinn dessen Folge sein sollte. Aber einen temporären Imageschaden dürften Lukas Gerber und sein Arbeitgeber schon erwarten müssen.

Doch der Gedanke an die Konsequenzen für Gerber trat in den Hintergrund. Hubert bemerkte, dass er vielmehr an die Worte und nicht zuletzt auch das Äußere von Jana Schmidt dachte. Die Frau war wirklich sehr hübsch. Ebenfalls sehr attraktiv für Hubert war der Gedanke daran, dass sie angesichts Ihres Berufs sehr viele Gemeinsamkeiten mit ihm haben könnte. Konnte das wirklich sein? Fühlte Hubert so etwas wie ein Kribbeln im Bauch? Es war ein sehr kostbarer Moment für Hubert – nicht wegen des Triumphs über Gerber, sondern wegen einer Erkenntnis: Es konnte durchaus ein Leben und auch eine für Hubert interessante Frau nach Karina geben.

Zurück im Konferenzsaal hatte sich die Aufregung um das etwas andere Live-Hacking gelegt. Der nächste Referent hatte seinen Vortrag begonnen. Vereinzelt diskutierten die Zuhörer noch untereinander.

Hubert nahm sich erneut sein Notebook zur Hand. Er schaute sich noch einmal den letzten Drucker an, auf den er zugegriffen hatte. Das Herunterladen der zuletzt gedruckten oder gescannten Dokumente sollte sich doch relativ einfach automatisieren lassen.

Er öffnete die Entwicklungsumgebung auf seinem Notebook und begann, die ersten Zeilen zu schreiben. Als er die ersten vierzig Zeilen beisammen hatte, machte er einen Testlauf.

./getdocs.py -h 24.192.26.191 -p 80

Nach wenigen Sekunden war das Programm abgearbeitet. Es hatte ein neues Verzeichnis mit dem Namen der IP-Adresse angelegt. Darin befanden sich zehn PDF-Dateien. Hubert öffnete die erste davon. Es war ein Angebot eines Unternehmens, welches scheinbar dem Großhandel zuzuordnen war. Das nächste Dokument war augenscheinlich eine Kundenliste für die Region Süddeutschland. Möglicherweise waren dies schon Teile der Kronjuwelen des Unternehmens, die sicherlich nicht unbedingt in fremde Hände fallen sollten.

Auf diesem kleinen Programm könnte Hubert aufsetzen. Fallunterscheidungen für andere Druckerhersteller und -modelle wären sicherlich schnell umgesetzt. Hubert fügte noch einen Aufruf des Programms whois ein und lies die Ausgabe in eine Textdatei im selben Verzeichnis schreiben. Mit der Whois-Abfrage, sozusagen dem Adressbucheintrag zu der genannten IP-Adresse, war die Zuordnung der Dokumente zum Unternehmen möglich. Darin fanden sich immer auch E-Mail Adressen für einen Kontakt zu demjenigen, der für die IP-Adresse bzw. den Inhalten dahinter verantwortlich war.

Am liebsten hätte Hubert jetzt noch stundenlang weiter programmiert. Doch langsam wurde es Zeit, sich auf seine eigene Live-Demonstration vorzubereiten. Bei seinen Versuchen mit Shodan hatte er eine Beobachtung gemacht, die er gleich spontan in seine Demonstration einbauen würde.

Kurze Zeit später betrat Hubert die Bühne.

»Guten Tag meine Damen und Herren. Nachdem der erste der geplanten Live-Hacks ja leider nicht wie geplant verlaufen ist, habe ich jetzt die Ehre, Ihnen einige Dinge zu zeigen.«

Im Abstand weniger Minuten zeigte Hubert einen Auszug aus seiner Trickkiste. Angriffe auf Webseiten, Durchführung von Phishing-Attacken und vieles mehr.

»So, jetzt möchte ich gerne meine Live-Demo vorzeitig beenden. Da heute schon mehrfach auf Shodan eingegangen wurde, möchte ich Ihnen hier und jetzt noch eben zeigen, wie man diese Seite angreifen kann.«

Im Saal herrschte Stille. Die Anwesenden schauten gespannt auf Hubert. Sicher bereute es spätestens jetzt niemand, zu dieser Konferenz gefahren zu sein. Das gehörte zu seinem Alleinstellungsmerkmal – andere redeten über Shodan, er zeigte wie man es angreifen konnte.

In wenigen Sätzen kommentierte Hubert die Kernaussagen seiner Vorredner und machte keinen Hehl daraus, dass er deren Ansichten nicht teilte.

»Wie bei den meisten Webauftritten läuft auch auf Shodan im Hintergrund eine Datenbank. Beim Thema Datenbanken muss ich automatisch an die sogenannte SQL Injection denken. Diese Angriffsart ist für einen Großteil der Datendiebstähle weltweit verantwortlich. Wenn ein Nutzer beispielsweise in einem Suchfeld einer Webseite einen Begriff eingibt, wird dieser an die Datenbank zur Verarbeitung weitergegeben. Die Entwickler gehen dabei typischerweise vom harmlosen Benutzer aus. Viele bedenken nicht, dass man in das Suchfeld auch Zeichen eingeben könnte, die für die Datenbank eine besondere Bedeutung haben und von dieser als Befehl statt als Inhalt interpretiert werden. Man injiziert also einen Steuerbefehl über die Schnittstelle, die für die Inhaltsdaten gedacht ist. Bei einer Webseite eines Sicherheitsexperten wie im Falle von Shodan dürfte das nicht funktionieren, aber wir haben ja heute schon mal eine Überraschung erlebt.«

Hubert grinste. Ein Raunen ging durch die Menge.

In das Suchfeld auf der Webseite Shodan tippte Hubert:

' or '1'='1

»Falls eine solche SQL Injection möglich ist, wird jetzt entweder eine aussagekräftige Fehlermeldung erscheinen oder die Webseite wird mehr Datensätze zurückgeben, als dies eigentlich der Fall sein sollte. Dann würde sich eine weiterführende Analyse lohnen, um gegebenenfalls die gesamten Datenbestände abziehen zu können oder auch alles zu löschen.«

Doch keines von beiden war der Fall.

»Schau an, was ist denn das? Die Webseite ist nicht mehr verfügbar. Stattdessen wird ein statisches Abbild der Webseite angezeigt. Der Betreiber von Shodan nutzt einen Anbieter eines sogenannten Content Delivery Network zum Schutz vor solchen Angriffen, welche darauf abzielen, die Webseite nicht verfügbar zu machen. Wenn das jetzt ein Webshop wäre, könnten sie eventuell weiter im Angebot stöbern, aber keine Bestellungen vornehmen. Das, meine Damen und Herren, ist Denial of Service. Ein kurzes Skript welches diesen Aufruf wieder und wieder durchführt genügt, und die Seite ist offline.«

Die Zuhörer waren begeistert.

»Eine Frage.«, rief jemand aus dem Saal.

»Ja bitte.«

»Wie können Sie es verantworten, ein System Live auf der Bühne anzugreifen. Das kann doch jetzt jeder nachmachen.«

»Gute Frage. Darauf gibt es gleich mehrere gute Antworten oder auch Gegenfragen. Wie kann es sein, dass ein Anbieter seine Webseite nicht gegen solche Angriffe absichert? Wie kann es sein, dass der Anbieter nicht auf meinen Hinweis reagiert und die Schwachstelle beseitigt? Und sie sollten nicht davon ausgehen, dass ich der Einzige bin, der das kann.«

Ob wohl die hübsche Frau Schmidt vom BKA nach dem Vortrag das Gespräch mit Hubert suchen würde? Streng genommen hatte er sich tatsächlich gerade strafbar gemacht. Ernsthafte Konsequenzen befürchtete er nicht, vielmehr hoffte er insgeheim auf eine Chance für ein weiteres Gespräch mit ihr.

»Als Schlusswort vielleicht noch eine Ergänzung dazu. Ich bin kein Befürworter der fahrlässigen Offenlegung von Schwachstellen. Sogenannte Responsible Disclosure ist hier das Stichwort, also der verantwortungsvolle Umgang mit Schwachstelleninformationen. Findet man eine Schwachstelle, sollte man diese dem Betroffenen melden und ihm genügend Zeit zur Behebung geben. Später kann man dann öffentlich die Lorbeeren ernten. Fahrlässig ist aber, wenn man als Anbieter von Webseiten auf solche Schwachstellen nicht reagiert.«

»Danke Herr Jansen für diese beeindruckende Vorführung. In Anbetracht der Zeit bitte ich darum, weitere Fragen im persönlichen Gespräch an Herrn Jansen zu richten.«

Hubert verließ die Bühne. Er wurde sofort von den ersten Zuhörern in Beschlag genommen. Bis zum Verlassen der Veranstaltung sollte er jetzt keine freie Minute mehr haben.

Zu gerne hätte Hubert die junge Frau vom BKA noch einmal gesprochen. Doch dazu war es leider nicht gekommen. Das ärgerte Hubert sehr. Aber die Welt der IT-Sicherheitsexperten war klein und es würde sicherlich ein Wiedersehen geben.

#pwned

Подняться наверх