vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisnächstes Kapitel


6

Wer ist überhaupt anfällig für Angriffe durch Cracker?

Seit 1973 werden Internet-Sites auf regelmäßiger Basis geknackt. Sicherheitsexperten bagatellisieren diese Tatsache oft, indem sie uns daran erinnern, daß frühe Sicherheitstechnologien nicht ausgefeilt genug waren. Tatsächlich aber gibt es da keinen Zusammenhang. Heutzutage sind Sicherheitstechnologien sehr komplex, aber immer noch kann das Internet leicht geknackt werden. Dieses Kapitel gibt einen Überblick darüber, wer für Angriffe von Crakkern anfällig ist und warum.

6.1 Eine Definition des Begriffs »knacken«

Der Begriff »knacken« wird dann angewandt, wenn ein unautorisierter Zugriff auf ein Netzwerk erfolgt ist. Dieser Zugriff kann in verschiedenen Ausmaßen erreicht werden. Hier einige Beispiele:

Moderne Sicherheitsverfahren haben das Knacken von Computern schwerer gemacht. Aber, die Kluft zwischen dem Wort schwierig und dem Wort unmöglich ist weit. Heutzutage haben Cracker Zugang zu einer Fülle von Sicherheitsinformationen; viele davon sind frei verfügbar im Internet. Es gibt kaum noch Unterschiede in bezug auf den Wissensstand eines Crackers und den eines zuverlässigen Sicherheitsexperten. Eventuelle Unterschiede dieses Wissensstands werden täglich kleiner.

Dieses Kapitel wird Ihnen zeigen, daß das Knacken von Websites eine alltägliche Aktivität ist - so alltäglich, daß jegliche Aussagen darüber, daß das Internet sicher sei, mit größter Vorsicht zu genießen sind. Um diesen Punkt zu beweisen, beginne ich mit Einrichtungen der Regierung. Schließlich stellen Verteidigungsbehörden und Nachrichtendienste die Basis unserer nationalen Sicherheitsinfrastruktur dar. Die dazugehörenden Daten sollten - mehr noch als die jeder anderen Einrichtung - sicher sein.

6.2 Netzwerke der Regierung

Sites der Regierung waren seit Bestehen des Internet beliebte Ziele für Angriffe. Ein Grund dafür ist die massive Berichterstattung der Presse, die einem solchen Ereignis folgt. Cracker lieben die Aufmerksamkeit der Medien, also ist ihre Philosophie: Wenn du schon eine Web- Site knackst, dann knacke eine wichtige.

Man sollte meinen, daß Internet-Sites der Regierung über bessere Sicherheitsmaßnahmen verfügen als ihre kommerziellen Gegenstücke. Die Medien reagieren daher aggressiver, wenn eine solche Site geknackt wird. Und Cracker, die erfolgreich in eine Site der Regierung eindringen, gewinnen größeres Ansehen unter ihresgleichen (ob verdient oder nicht).

Sie brauchen gar nicht weit zu suchen, um Beweise zu finden, daß Internet-Sites der Regierung regelmäßig geknackt werden. Ein Bericht aus dem Jahre 1997, herausgegeben vom Government Accounting Office (GAO), über die Sicherheit der Netzwerke der Verteidigungsbehörden schloß, daß

Einrichtungen der Verteidigungsbehörden wohl ganze 250.000mal im letzten Jahr angegriffen worden sind. Zusätzlich dazu waren Testangriffe der DISA (Defense Information Systems Agency) auf die zu den Verteidigungsbehörden gehörenden Systemen zu 65 % erfolgreich. Offiziellen der Verteidigungsbehörden zufolge haben Angreifer sensible Informationen erhalten und korrumpiert - sie haben sowohl Daten als auch Software gestohlen, verändert oder zerstört. Sie haben unerwünschte Dateien und »Hintertürchen« installiert, die den normalen Systemschutz umgehen und Angreifern später erneut unautorisierten Zugriff ermöglichen. Sie haben ganze Systeme und Netzwerke lahmgelegt und zerstört und haben so den Benutzern Dienste verweigert, die zur Durchführung kritischer Aufgaben von automatischen Systemen abhängen. Zahlreiche Abteilungen innerhalb der Verteidigungsbehörden waren betroffen, u.a. die Waffen- und Supercomputer-Forschung, Logistik, Finanzen, Beschaffung, Personal-Management, Militär-Gesundheitsbehörden und Lohn- und Gehaltsabrechnungen.

Wegweiser:

Den Bericht Information Security: Computer Attacks at Department of Defense Pose Increasing Risks ([Chapter Report, 05/22/96, GAO/AIMD-96- 84]; Chapter 0:3.2, Paragraph 1), aus dem die oben angegebenen Informationen stammen, finden Sie unter http://www.securitymanagement.com/library/000215.html.

Der gleiche Bericht zeigt, daß trotz einer Viertelmillion Angriffen jährlich nur einer von 500 Angriffen aufgedeckt und gemeldet wird.

Hinweis:

Frühere Berichte zeigen ähnliche Ergebnisse. Zum Beispiel griff die DISA zwischen 1992 und 1995 etwa 38.000 Netzwerke der Verteidigungsbehörden an. In mehr als 65 Prozent dieser Netzwerke konnte erfolgreich eingedrungen werden. Von dieser Zahl (etwa 24.700) wurde bei 96 Prozent der Systeme nicht entdeckt, daß ein Angriff vorgenommen worden war.

Regierungsbehörden versuchen verständlicherweise, diese Tatsachen zu bagatellisieren, aber einige der Zwischenfälle sind schwer zu verschweigen. 1994 z.B. erhielten Cracker uneingeschränkten Zugang zu einem Waffenforschungslabor in Rome, New York. Über einen Zeitraum von zwei Tagen konnten die Eindringlinge wichtige Informationen in bezug auf die nationale Sicherheit herunterladen, u.a. Kommunikationsprotokolle für Kriegszeiten. Diese Informationen sind extrem sensibel und könnten bei Mißbrauch das Leben amerikanischen Militärpersonals gefährden. Wenn Cracker mit ihrer relativ bescheidenen Ausstattung auf derartige Informationen zugreifen können, könnten feindlich gesinnte ausländische Regierungen (mit wesentlich mächtigerem Computerequipment) sicher noch auf weit mehr zugreifen.

Hinweis:

Ob bereits irgendeine ausländische Regierung über das technische Wissen verfügt, um unsere Netzwerk-Infrastruktur anzugreifen, ist diskutabel. (Obwohl ein aktueller GAO-Bericht zeigt, daß etwa 120 Nationen über Programme für einen möglichen Informationskrieg verfügen.) Man weiß allerdings, daß trotz Technologietransferbeschränkungen viele Nationen dabei sind, die notwendigen Tools für einen möglichen Angriff zu sammeln. China z.B. erwarb kürzlich High-End-Silicon-Graphics-Workstations für die 3D- Modellierung. Letztendlich wurden die Maschinen in Chinas Nuklearprogramm eingesetzt.

Weder ist dieses Phänomen neu, noch haben Beschäftigte der Regierung viel getan, um die Situation zu verbessern. Tatsache ist, daß einige sehr hochkarätige Websites der Regierung in den letzten Jahren geknackt wurden. 1996 beispielsweise wurden sowohl die Central Intelligence Agency (CIA) als auch das Department of Justice (DoJ) Opfer von Attacken durch Cracker.

Im Fall der CIA erlangten Cracker am 18. September 1996 Kontrolle über die Site und ersetzten das Willkommensbanner durch ein neues, auf dem es hieß »The Central Stupidity Agency«. Links zu einer Hacker-Gruppe in Skandinavien komplettierten die neue Begrüßung. Im Fall des DoJ präsentierten Cracker am 17. August 1996 ein Foto von Adolf Hitler als Generalstaatsanwalt der Vereinigten Staaten.

Die jüngste Internet-Geschichte ist voller Geschichten solcher Angriffe. Hier ein paar besondere Beispiele:

Bundesbehörden waren nicht die einzigen Ziele. Im Oktober 1996 wurde die Homepage des Supreme Courts (Obersten Gerichtshofs) des Staates Florida geknackt. Vor diesem Vorfall wurden auf der Homepage aktuelle Gerichtsurteile veröffentlicht. Die Cracker entfernten diese Informationen und ersetzten sie durch Pornographie. (Das Gericht berichtete anschließend über eine ungewöhnlich hohe Rate von Besuchen.)

Derartige Angriffe kommen immer häufiger vor und bisher hat die Verfügbarkeit von modernsten Sicherheitstechnologien kaum Einfluß darauf gehabt. Warum? Es liegt nicht an den Technologien, sondern an den Menschen. (Zum Beispiel lief auf dem DoJ-Host eine Firewall, aber sie war falsch konfiguriert.) Um Ihnen zu veranschaulichen, wie verwundbar die Server der Regierung sind, stelle ich Ihnen noch ein paar aktuelle Fälle vor.

6.2.1 Defense Information Systems Network (DISN)

Im April 1998 knackte eine Gruppe namens »Masters of Downloading« (nicht zu verwechseln mit den »Masters of Destruction«) das DISN. Die Eindringlinge stahlen benutzerdefinierte Software, die vom DISN eingesetzt wird und für die Öffentlichkeit nicht verfügbar ist (DISN kontrolliert wichtige Militär-Satelliten). Der Reuters-Pressedienst berichtete:

Mitglieder des Verteidigungsministeriums gaben bekannt, daß die gestohlene Software, der Defense Information Systems Network Equipment Manager (DEM), der Schlüssel zum amerikanischen Netzwerk der militärischen GPS-Satelliten sei - sie wird benutzt, um Raketenschläge genau festzulegen, Truppen zu lenken und Bodenkonditionen festzustellen. http://www.news.com/News/Item/0,4,21357,00.html

Derart lebenswichtige Daten könnten sich in den Händen einer feindlichen ausländischen Nation als vernichtend herausstellen. DISN-Dienste beinhalten u.a.:

... die Infrastruktur, Satellitenkommunikation (militärisch und kommerziell), Telekommunikation an der Front, die den kriegsführenden Oberbefehlshabern die Möglichkeit geben, sich jederzeit, von jedem Ort und für jegliche Mission in die Informationsinfrastuktur des Verteidigungsministeriums einzuwählen und von ihr vollen Gebrauch zu machen... http://www.disa.mil/DISN/disns54.html

Die Verantwortlichen des DISN haben ganz klar noch einiges zu tun. Derzeit ist die nationale Sicherheit gefährdet.

6.2.2 Die Marine der Vereinigten Staaten und die NASA

Ebenfalls im April 1998 wurden Hosts der amerikanischen Marine und der NASA durch umfangreiche Denial-of-Service-Attacken lahmgelegt. Obwohl keine Daten verloren oder beschädigt wurden, waren die Hosts über Minuten, in manchen Fällen sogar über Stunden, unbrauchbar und nicht erreichbar. Vieler dieser Hosts gehörten zu wichtigen militärischen und technologischen Forschungszentren. Hier einige der Opfer:

Microsoft, der für das Sicherheitsloch verantwortliche Hersteller, gab einen Hinweis über das Sicherheitsrisiko heraus, in dem Microsoft-Offizielle schrieben:

Seit dem 2. März 1998 gab es zahlreiche Berichte über bösartige Netzwerk-basierte Denial-of-Service-Angriffe gegen Systeme, die mit dem Internet verbunden sind. Wir wurden von Kunden und Sicherheitsüberwachungsorganisationen wie CIAC und CERT über die Vorfälle unterrichtet, die auch mit dem Internet verbundene Microsoft Windows-NT- und Windows-95-Systeme betrafen. http://www.microsoft.com/security/netdos.htm

»Zahlreiche Berichte« ist eine Untertreibung. Tatsächlich fielen Hunderte von Hosts aus und Tausende von Benutzern waren betroffen. Zusätzlich zu den NASA- und Marine-Computern stürzten eine ganze Reihe von Hosts an Universitäten ab, beispielsweise

In Kapitel 9 erfahren Sie mehr über die Mechanismen dieses neuen Denial-of-Service- Angriffs vom Januar 1998.

6.2.3 Die Pentagon-Attacke

Im Februar 1998 wurden wichtige Hosts des Pentagons geknackt. Diese Attacke wurde von den Behörden als »die bestorganisierte und systematischste Attacke aller Zeiten« auf Netzwerke des Militärs bezeichnet. Die Attacke wurde von dem israelischen Teenager Ehud Tenenbaum meisterlich geplant. Berichten zufolge schulte er zwei kalifornische Teenager und zeigte ihnen verschiedene Wege, um die Sicherheitsmaßnahmen des Pentagons zu durchbrechen. Die Jugendlichen aus Kalifornien setzten dieses Wissen gleich in die Tat um und innerhalb von Tagen drangen die drei in Hunderte von Netzwerken in ganz Amerika ein.

Hinweis:

Dem israelischen Teenager gelang es auch, Schwachstellen im Netzwerk der Knesset, dem israelischen Parlament, aufzudecken. Es gibt kaum Informationen über diese Attacke, aber es ist bekannt, daß jemand in das Knesset-Netzwerk eingedrungen ist. Es gibt ein interessantes Interview mit dem Teenager, das Sie im Internet finden können. http://www.walla.co.il/news/special/ hacker/eindex.html

Das Knacken der Pentagon-Rechner war extrem beunruhigend, da es offenbarte, daß jeder von jedem beliebigen Ort Netzwerke der Verteidigungsbehörden einfach lahmlegen konnte. Zwar ist es richtig, daß keiner der betroffenen Rechner geheime oder sensible Daten enthielt, aber im Idealfall sollte einfach keiner unserer hochgeschätzen Netzwerke der Regierung anfällig für Attacken sein.

Die ersten Reaktionen Israels auf die Attacke waren vielleicht sogar noch beunruhigender. Die israelische Regierung nahm die Sache auf die leichte Schulter und pries Herrn Tenenbaum für seine Talente, die ihm ein Durchbrechen der Sicherheitsvorkehrungen für amerikanische Netzwerke ermöglicht hatten.

Gleichzeitig kam zum Schaden noch der Spott hinzu, als eine Gruppe junger Cracker, die sich als Verbündete Tenenbaums ausgaben, damit drohten, im Fall einer Verhaftung ihres Kollegen weitere Server lahmzulegen. Tenenbaum wurde schließlich unter Hausarrest gestellt und wartet jetzt auf eine Anklage.

6.2.4 Andere geknackte Sites der Regierung

Attacken auf Ziele wie die NASA, das Pentagon und die amerikanische Marine ziehen umfangreiche Berichterstattung durch die Medien nach sich. Aber auch unwichtigere Internet-Sites der Regierung werden regelmäßig geknackt, allerdings wird darüber kaum berichtet. Ich habe einige interessante Ziele aufgelistet, die alle in den letzten 13 Monaten Opfer von Crackern wurden:

Wie Sie sehen, werden Server der Regierung alarmierend häufig geknackt (durchschnittlich etwa zwei pro Monat). Lassen Sie uns die Gründe dafür untersuchen.

6.2.5 Sicherheitsmaßnahmen der Regierung

Die amerikanische Regierung hat viele Faktoren oder auch Personen für ihre Probleme verantwortlich gemacht, u.a.:

In der Realität ist keiner dieser Faktoren verantwortlich oder auch nur beteiligt. Statt dessen liegt die Schuld bei den Behörden und ihren Angestellten. Netzwerke für Verteidigungsinformationen arbeiten mit archaischen internen Sicherheitsrichtlinien. Diese Richtlinien fördern nicht die Sicherheit, sondern verhindern sie eher. Zur Demonstrierung dieser Tatsache möchte ich noch einmal auf den bereits erwähnten GAO-Bericht zurückkommen. Darin räumt die Regierung ein:

Das Militär und die Verteidigungsbehörden haben eine ganze Reihe von Richtlinien zur Informationssicherung herausgegeben, aber diese sind altmodisch, widersprüchlich und unvollständig.

Der Bericht bezieht sich auf eine Reihe von Direktiven der Verteidigungsbehörden als Beispiele. Er zitiert aus der Direktive 5200.28 (als das bedeutendste Dokument zu Richtlinien des Verteidigungsministeriums). Dieses Dokument Security Requirements for Automated Information Systems stammt vom 21. März 1988.

Lassen Sie uns einen Teil dieser Direktive genauer ansehen. In Paragraph 5, Abschnitt D, dieses Dokuments heißt es:

Sicherheitsmerkmale sowohl kommerziell gefertigter als auch von seiten der Regierungsbehörden entwickelter Produkte werden ausgewertet und bei Bewertung als zuverlässige Computerprodukte in die Liste der geprüften Produkte (Evaluated Products List - ELP) aufgenommen. Geprüfte Produkte sind solche, die den Sicherheitskriterien des National Computer Security Center (NCSC) der NSA entsprechen, die definiert sind als Sicherheitsabteilung, -klasse und -merkmale (z.B. B, B1, Zugangskontrolle), beschrieben in DoD 5200.28-STD (Reference K)).

Wegweiser:

Das Dokument Security Requirements for Automated Information Systems finden Sie unter http://www.dtic.mil/c3i/bprcd/485x.htm.

Das Hauptproblem der Regierung liegt in den Ausführungen dieses Absatzes. Die Evaluated Products List (EPL) ist eine Liste von Produkten, die für Sicherheitsklassen gemäß den Richtlinien des Verteidigungsministeriums (DoD) bewertet wurden. (Die National Security Agency überwacht diese Bewertung.) Die Beurteilung der Sicherheit dieser Produkte erfolgt in verschiedenen Abstufungen.

Wegweiser:

Bevor Sie weitermachen, sollten Sie sich die EPL kurz selbst ansehen: http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html

Zuerst wird Ihnen auffallen, daß die meisten der Produkte alt sind. Schauen Sie sich z.B. die Auflistung für Trusted Informations Systems' Trusted XENIX, ein Unix-basiertes Betriebssystem, an.

Wegweiser:

Die Auflistung für Trusted XENIX finden Sie unter http://www.radium.ncsc.mil/tpep/epl/entries/CSC-EPL-92-001-A.html .

TIS's Trusted XENIX ist als sicheres System vermerkt, das den Richtlinien der Regierung entspricht (Stand September 1993). Schauen Sie sich jedoch die Plattformen genau an, für die dieses Produkt als sicher bestimmt wurde. Dazu gehören:

Diese Architekturen sind uralt. Bis Produkte der EPL zugefügt werden, sind sie oft schon hoffnungslos veraltet. Sie können daraus schließen, daß sowohl viele Hardware- und Software-Produkte als auch die Sicherheitsmaßnahmen des DoD ebenso veraltet sind.

Fügen Sie nun noch einen Punkt hinzu: interne Schulungen. Ist das Personal der Verteidigungsbehörden geschult in punkto modernste Sicherheitstechnologien und kann es diese anwenden? Nein. Wieder zitiere ich aus dem GAO-Bericht:

Die Offiziellen der Verteidigungsbehörden stimmten im allgemeinen zu, daß zur Erhöhung des Bewußtseins für Sicherheitsprobleme von seiten des Benutzers Schulungen nötig seien, meinten aber, daß die für die Installationen Verantwortlichen die Sicherheitsrisiken für Computer nicht immer verstehen und daher nicht immer genügend Ressourcen zur Verfügung stellen.

In der Vergangenheit existierte keine angemessene Finanzierung für Schulungen. Daher blieb die Mehrheit des Personals der Verteidigungsbehörden unwissend und konnte nicht einmal ein Eindringen aufdecken, geschweige denn die Herkunft bestimmen.

Diese Situation geriet über die Jahre außer Kontrolle. Das soll sich nun ändern. Die Regierung beschloß kürzlich zu handeln, und obwohl sie vielleicht etwas spät dran ist, stehen jetzt zumindest die nötigen Mittel zur Verfügung. Seitdem wurden auf allen Ebenen der Regierung Spezialeinheiten gegründet. Schauen wir uns einige davon an.

The President's Commission on Critical Infrastructure Protection

Am 15. Juli 1996 unterschrieb Präsident Clinton die Executive Order 13010. In diesem Erlaß bemerkten Clinton-Berater:

Einige nationale Infrastrukturen sind so wichtig, daß ihre Lahmlegung oder Zerstörung die Sicherheit der Verteidigungsapparate oder der Wirtschaft der Vereinigten Staaten schwächen könnten. Diese kritischen Infrastrukturen umfassen: Telekommunikation, Stromversorgungssysteme, Gas- und Öllagerung und -transport, Bankwesen und Finanzen, Transport, Wasserversorgungssysteme, Notruf-Dienste (einschließlich Notärzte, Polizei, Feuerwehr und Rettungsdienste) und Kontinuität der Regierungsgeschäfte. Die Bedrohungen für diese kritischen Infrastrukturen können in zwei Kategorien geteilt werden: direkte Bedrohungen für Anlagen (»Physikalische Bedrohungen«) und Bedrohungen durch elektronische, Hochfrequenz- oder Computer-basierte Angriffe auf die Informations- oder Kommunikationskomponenten, die kritische Infrastrukturen kontrollieren (»Cyber-Bedrohungen«). Da viele dieser kritischen Infrastrukturen in privatem Besitz sind oder privat betrieben werden, ist es absolut notwendig, daß die Regierung und der Privatsektor zusammenarbeiten, um eine Strategie zu entwickeln, wie man diese Infrastrukturen schützen und ihr kontinuierliches Arbeiten garantieren kann.

Zu diesem Zweck wurde die President's Commission on Critical Infrastructure Protection (PCCIP) gebildet. Die PCCIP (im Web unter http://www.pccip.gov/) soll eine nationale Strategie entwickeln, um die wertvollsten Anlagen vor Cyber-Bedrohungen zu schützen. (Zu diesen Anlagen gehören Stromversorgung, Wasser, Bankwesen und andere Schlüssel- Dienstleistungen, ohne die Amerika im Chaos versinken würde.)

Die PCCIP wurde gegründet, um genau solche Angriffe wie den vom März 1997 zu verhindern, als ein schwedischer Cracker in ein Notruf-System in Florida eindrang und es lahmlegte. Elf Bezirke waren betroffen. Der Cracker amüsierte sich, indem er die Notruf-Telefonisten miteinander verband oder den Dienst einfach völlig lahmlegte.

Hinweis:

Der Fall des Schweden war nicht der erste, in dem Cracker Notruf-Dienste unterbrachen. In Chesterfield, New Jersey, wurde eine Gruppe, die sich »the Legion of Doom« nannte, ähnlicher Vergehen angezeigt. Was war ihre Motivation? »Zu versuchen, in Notruf-Systeme einzudringen und sie mit Viren zu infizieren und damit Verwüstung zu schaffen.«

Hinweis:

Ein anderer beunruhigender Fall ereignete sich im März 1997, als ein Teenager aus Rutland, Massachusetts, ein Flughafen-System knackte. Während der Attacke waren der Flughafen-Kontroll-Tower und Kommunikationseinrichtungen über sechs Stunden lahmgelegt. (Die Flughafenfeuerwehr war ebenfalls beeinträchtigt.) Es wurde berichtet, daß »die Gesundheit und Sicherheit der Öffentlichkeit durch den Ausfall bedroht war, der Telefondienste bis etwa 15.30 h lahmlegte. Betroffen waren der Federal Aviation Administration Tower am Worcester Flughafen, die Flughafen-Feuerwehr in Worcester und andere Einrichtungen wie die Flughafen-Sicherheit, der Wetterdienst und verschiedene private Luftfracht-Unternehmen. Zusätzlich, als Resultat des Ausfalls, funktionierten über den gleichen Zeitraum weder das Hauptfunkgerät, das über das Loop-Carrier-System mit dem Tower verbunden ist, noch eine Verbindung, mittels der Flugzeuge ein elektronisches Signal senden können, um beim Anflug die Lichter der Landebahn zu aktivieren.« Aus: Juvenile Computer Hacker Cuts Off FAA Tower At Regional Airport - »First Federal Charges Brought Against a Juvenile for Computer Crime«. Transport News, März 1998

Ziel der PCCIP ist es, solche Angriffe in großem Rahmen zu verhindern. Mitarbeiter erwarten, daß künftige Cyber-Attacken noch bedrohlicher und weitreichender sein werden. Stellen Sie sich z.B. vor, die Notruf-Systeme oder die Stromversorgung im ganzen Land würden ausfallen.

Die PCCIP hat erste Ergebnisse im Internet zur Verfügung gestellt. Um diese kennenzulernen (und zu erfahren, was die PCCIP in bezug auf das Problem tut), sehen Sie sich das Dokument »Critical Foundations: Protecting America's Infrastructures« an. Sie finden es unter http://www.pccip.gov/report.pdf.

Andere interessante Dokumente der PCCIP finden Sie hier:

Das National Infrastructure Protection Center

Basierend auf den Ergebnissen der PCCIP reagierte auch das amerikanische Justizministerium. Im Februar 1998 gab Generalstaatsanwältin Janet Reno die Bildung des National Infrastructure Protection Center (NIPC) bekannt, eine Untersuchungsorganisation, die mit Personal des an das FBI angeschlossenen Computer Investigations and Infrastructure Threat Assessment Center (CIITACS) bestückt ist.

Das NIPC wird Netzwerk-Attacken verfolgen und langfristige Lösungen entwikkeln, z.B. für das Aufdecken von Eindringlingen. Ein weiteres Ziel des NIPC ist die internationale Zusammenarbeit von Polizeibehörden.

Es gibt einige interessante Artikel über das CIITAC, das NIPC und angeschlossene Organisationen :

FBI warns 'Electronic Pearl Harbor' Possible. Maria Seminerio, ZDNET. 25. März 1998. http://www.scri.fsu.edu/~green/d2.html

Hacking Around. The NewsHour mit Jim Lehrer, März 1998.
http://www.pbs.org/newshour/bb/cyberspace/jan-june98/hackers_5-8.html

U.S. to Set Up Interagency Defense Against Cyberattacks. Sunworld Online. Februar 1998. http://www.sun.com/sunworldonline/swol-03-1998/swol-03-if.html#2

Attorney General Announces Crime Center To Tackle Cyberattacks. Gayle Kesten. 28. Februar 1998. http://www.techweb.com/wire/story/TWB19980228S0004

Background on the International Crime Control Strategy. United States Information Agency Hypermail Server. http://usiahq.usis.usemb.se/admin/008/epf206.htm

6.2.6 Zusammenfassung der Schwachstellen der Regierung

Bis heute sind die Sicherheitsmaßnahmen der Regierung größtenteils unzureichend gewesen. Zwar werden die Bemühungen der PCCIP, des NIPC und des CIITACS die Situation zweifellos verbessern, aber es muß noch viel mehr getan werden.

Solange Beschäftigte der Behörden nicht richtig geschult werden, werden die Sites der Regierung weiterhin regelmäßig geknackt. Sicherheit ist verfügbar und wenn die Regierung es nicht allein schafft, entsprechende Sicherheitsmaßnahmen zu implementieren, muß sie Spezialisten aus dem Privatsektor beschäftigen, die es können.

6.3 Netzwerke der privaten Wirtschaft

Es ist klar, daß Server der Regierung erfolgreich attackiert werden können, aber was ist mit dem privaten Sektor? Sind amerikanische Wirtschaftsunternehmen - ob große oder kleine - immun gegen Cyber-Attacken? Wohl kaum. Tatsächlich werden die Sites der privaten Wirtschaft noch wesentlich öfter geknackt. Hier sind einige aktuelle Opfer, an die Sie sich vielleicht erinnern:

Diese Liste ist nur der Anfang. Im letzten Jahr wurden Hunderte privat betriebener Server geknackt.

Geschäftsleute, die der Öffentlichkeit Electronic Commerce verkaufen wollen, versichern uns, daß diese Zwischenfälle harmlos sind. Sie weisen z.B. darauf hin, daß Kreditkarten- und persönliche Daten völlig sicher seien. Haben sie recht? Nein.

6.3.1 Der StarWave-Zwischenfall

Im Juli 1997 kam es zum ersten weithin bekannt gewordenen Angriff durch Crakker auf Kreditkartendaten im Internet. Und ihre Ziele waren nicht gerade bescheiden. Kreditkartennummern von NBA- und ESPN-Kunden wurden abgefangen und verteilt.

StarWave ist der Betreiber der Website, der für den Schutz dieser Daten verantwortlich war. StarWave ist ein bekanntes Unternehmen, das Web-Hosting für viele große kommerzielle Unternehmen bietet, u.a. auch für ABC News. Im Juli 1997 jedoch waren die Verantwortlichen bei StarWave offensichtlich nicht auf ein Sicherheitsloch vorbereitet.

Der oder die Cracker nahmen die Kreditkartennummern und mailten sie an NBA- und ESPN-Abonnenten, um ihnen zu demonstrieren, daß ihre Kreditkartendaten nicht geschützt waren. Der E-Mail war eine Nachricht hinzugefügt, dessen relevanter Teil wie folgt lautete:

Ganz offensichtlich hält es StarWave nicht für nötig, die individuellen Kreditkartennummern zu schützen. (Dies ist eine der schlechtesten Sicherheitsimplementierungen, die wir jemals gesehen haben.)

Die StarWave-Offiziellen antworteten schnell und erklärten, daß das Sicherheitsloch nur minimal sei. Sie änderten System-Paßwörter und haben eine zusätzliche Verschlüsselungsebene eingefügt. Die Tatsache jedoch bleibt bestehen: Kreditkartendaten von Benutzern sind bekannt geworden.

Andere Fälle bezüglich Kreditkartendaten

Verfechter des Electronic Commerce versichern, daß der StarWave-Fall ein Einzelfall war. Tatsächlich behaupten viele von ihnen, daß es keine anderen bestätigten Fälle von Kreditkartennummern-Diebstahl im Internet gibt. Das ist nicht wahr.

Denken Sie an den Fall Carlos Felipe Salgado. Salgado benutzte ein Sniffer-Programm (Sie werden in Kapitel 13 alles über Sniffer erfahren), um Tausende Kreditkartennummern aus dem Web zu stehlen. In ihrer eidesstattlichen Erklärung gaben FBI-Agenten bekannt:

Zwischen, am oder um den 2. Mai und den 21. Mai 1997 hat sich der Angeklagte Carlos Felipe Salgado jr., auch bekannt als »Smak«, innerhalb des Staates und des nördlichen Distrikts Kaliforniens bewußt und mit betrügerischer Absicht mit unerlaubten Mitteln Zugang zu innerstaatlichen Geschäftseinrichtungen, d.h. zu über 100.000 gestohlenen Kreditkartennummern verschaffen und durch dieses Verhalten mehr als 1.000 $ erhalten.

Salgados Methode ist bei Crackern sehr bekannt:

Während routinemäßiger Wartungsarbeiten an den Internet-Servern am Freitag, den 28. Mai 1997, entdeckten Techniker, daß jemand in die Server eingedrungen war. Nähere Untersuchungen durch die Techniker zeigten, daß ein »Packet Sniffer« in das System installiert worden war. Das Programm wurde dazu benutzt, Benutzer-Identifikationen und -Paßwörter abzufangen. [...] das FBI traf »Smak« zur vereinbarten Stunde am vereinbarten Ort. »Smak« übergab eine verschlüsselte CD, die über 100.000 gestohlene Kreditkartennummern enthielt. Nach Bestätigung der Richtigkeit der Kreditkarteninformationen durch Entschlüsselung der Daten wurde »Smak« vom FBI verhaftet.

Sniffer-Attacken sind wahrscheinlich der üblichste Weg, um Kreditkartendaten (und zusammengehörende Benutzernamen und Paßwörter) abzufangen. Sie sind so üblich, daß Jonathan Littman (ein bekannter Autor eines Bestsellers über Hacking) als Antwort auf den Salgado- Fall folgendes schrieb:

Tatsache Nr. 1: Dies war eine altmodische Attacke - derartige Attacken passieren etwa so häufig wie ein Hund sich selbst beschnuppert. Den Pakket Sniffer, den Carlos Felipe Salgado jr., auch bekannt als »Smak«, auf dem Server eines Internet Service Providers in San Diego installiert hat, benutzen Hacker schon seit Jahren. Mein Provider in Nord-Kalifornien wurde vor zwei Monaten attackiert und letzte Woche wieder. Was glauben Sie, wollte dieser Hacker installieren? Aus: Take No Solace in This Sting. Jonathan Littman. ZDNET News. http://www.zdnet.com/zdnn/content/zdnn/ 0523/zdnn0007.html.

Wir können in naher Zukunft weitere Fälle wie den Salgado-Fall erwarten. Der Mitnick-Fall hatte ähnliche Ergebnisse: Mitnick hatte etwa 20.000 Kreditkartennummern von Laufwerken von Netcom, einem Internet Service Provider aus Nordkalifornien, gestohlen. Mitnick machte allerdings nicht den Versuch, die Kartennummern zu benutzen oder zu verkaufen.

Diese Fälle überschatten das Internet. Sind Sie sicher, daß Sie Ihre Daten auf den Festplatten von Internet Service Providern oder Online-Shopping-Centern speichern lassen wollen? Das Risiko ist sehr groß, auch wenn die Betreiber dieser Sites die Sicherheitslöcher für entfernte Attacken schließen. Betrachten Sie diese Fälle:

1997 wurde ich mit der Überprüfung von Protokollen eines lokalen Internet Service Providers beauftragt. Einer seiner Stammkunden hatte eine T1-Linie, über die er eine Website betrieb. Über diese T1-Linie knackte einer der Angestellten den Hauptrechner des Providers, um eine der größten Kreditkarten-Abrechnungszentralen im Internet zu attackieren. Stellen Sie sich vor, der Cracker hätte es geschafft, einen Sniffer in diesem System zu installieren!

Aus all diesen Gründen ist das Internet für großangelegte Handelsgeschäfte noch nicht bereit. Jeden Tag werden die Geschichten unglaublicher.

6.3.2 Die Trends

Vollständige Statistiken über das Durchbrechen von Sicherheitsmaßnahmen sind schwer zu bekommen. Es gibt jedoch ein paar gute Quellen. Eine ist das Computer Crime and Security Survey des Computer Security Institute. Das CSI-Gutachten wird jährlich erstellt und die Ergebnisse für 1998 sind gerade herausgekommen. Sie können diese Ergebnisse im Web finden unter:

http://www.gocsi.com/prelea11.htm

Das CSI-Gutachten stellt für 1998 einen starken Anstieg der Computer-Kriminalität fest. Zum Beispiel berichteten 64 Prozent der 520 Befragten über ein Durchbrechen von Sicherheitsmaßnahmen im letzten Jahr (diese Zahl hat sich gegenüber 1997 um 16 Prozent erhöht). Etwa ein Viertel der Befragten erlitten umfangreiche Denial-of-Service-Attacken und die gleiche Anzahl erlebte ein Eindringen von entfernten Angreifern. Und schließlich gaben 54 Prozent aller Befragten an, daß das Internet die Eingangstür für Eindringlinge sei.

Das CSI-Gutachten ist nicht das einzige, das einen Anstieg der Durchbrüche von Sicherheitsmaßnahmen im Internet registriert. Die wahrscheinlich faszinierendste Studie wurde von Dan Farmer durchgeführt.

Die Farmer-Studie: Dusting Moscow

Dan Farmer, vom dem Sie schon etwas im letzten Kapitel erfahren haben und in Kapitel 10 noch mehr hören werden, ist bekannt für seine Haltung gegen Regierungskontrollen von Verschlüsselung und er ist ein freimütiger Verfechter von persönlicher Privatsphäre im Internet.

1996 benutzte Farmer SATAN (ein Tool, das automatisch Sicherheitslücken aufspürt), um eine allgemeine Studie im Internet durchzuführen. Für die Studie »Shall We Dust Moscow? Security Survey of Key Internet Hosts and Various Semi-Relevant Reflections« überprüfte Farmer 2.200 Internet-Hosts. Der Zweck der Untersuchung war einfach: herauszufinden, wie viele Hosts für entfernte Angriffe anfällig waren.

Die Studie stieß auf widersprüchliche Reaktionen, da Farmer nicht um Erlaubnis fragte, seine Ziele testen zu dürfen. (Die Ziele waren übrigens zufällig ausgewählt.)

Farmers Ergebnisse waren ebenfalls strittig. Ich möchte Ihnen nichts vorwegnehmen (sie sollten die Studie herunterladen und lesen), aber hier sind ein paar nüchterne Tatsachen:

Und jetzt kommt der Clou: Farmer wählte als Ziele keine durchschnittlichen Websites, sondern Sites von Banken, Kreditvereinigungen, Behörden und anderen wichtigen Einrichtungen, die eigentlich über gute Sicherheitsmaßnahmen geschützt sein sollten.

Farmers Studie ist wahrscheinlich die wertvollste, die jemals durchgeführt wurde. Und ich sage Ihnen warum: Die meisten Studien über Computer-Sicherheit werden durchgeführt, indem Hunderte von EDV-Verantwortlichen befragt werden. Die gestellten Fragen beziehen sich in der Regel auf Sicherheitsrichtlinien. Dies läßt einen großen Raum für verfälschte Ergebnisse, weil die Verantwortlichen vielleicht nicht immer ganz ehrlich sind. Im Gegensatz dazu wurden für Farmers Studie die Netzwerke selbst getestet und viele davon stellten sich als katastrophal unsicher heraus.

Um sich Farmers Studie anzuschauen gehen Sie zu:

http://www.trouble.org/survey/

Die Ernst&Young LLP/InformationWeek Information Security-Studie

Wenn Ihr Unternehmen Sie beauftragt hat, einen Sicherheitsplan aufzustellen, suchen Sie sicher nach weiteren Statistiken. Kein Problem, es gibt eine Menge Material. Eine gute Quelle ist die Ernst&Young-LLP/InformationWeek-Information-Security-Studie. Diese Studie finden Sie online unter:

http://www.ey.com/publicate/aabs/isaaspdf/FF0148.pdf

Die Ernst&Young-Studie unterscheidet sich ein wenig von den vorher erwähnten Studien. Zunächst einmal ist sie eine Studie über Menschen (eigentlich ist es eine Studie über 4.000 EDV-Manager.) Den Befragten wurde eine große Vielfalt an Fragen über Sicherheit im Internet und über Sicherheitsaspekte in bezug auf Electronic Commerce gestellt.

Ein immer wiederkehrendes Thema in der 98er Studie ist folgendes: Die meisten Verantwortlichen (und sogar die meisten Verwaltungsangestellten) sehen Sicherheit heute als ein Hauptanliegen an. Die Studie zeigt, daß trotz dieser Tatsache die Mehrheit der Websites nicht genügend gesichert ist.

Sollte Ihr Unternehmen den Ergebnissen dieser Studie entsprechen, ist es höchste Zeit zu handeln. (Während Tools zum Aufdecken unbefugten Eindringens vielleicht etwas viel für ein kleines Unternehmen sind, sollte jede Firma jedoch wenigstens schriftliche Richtlinien haben.)

6.4 Eine Warnung

Viele Unternehmen, die einen Web-Server einrichten wollen, haben das Gefühl, daß Sicherheit keine große Rolle spielt. Sie nutzen beispielsweise die Dienste eines Internet Service Providers und geben damit die Verantwortung und Haftung an diesen weiter. Schließlich kennen Provider sich aus und werden niemals geknackt, oder? Falsch. Internet Service Provider werden ständig angegriffen.

Wenn Sie Informationsingenieur sind und Ihr Unternehmen einen Anschluß an das Internet plant, denken Sie an die Grundlagen. Machen Sie alle Beteiligten darauf aufmerksam, daß Sicherheit eine wichtige Angelegenheit ist. Andernfalls müssen Sie später die Verantwortung auf sich nehmen. Sie sollten vorsichtig reagieren, wenn Ihnen ein Provider versichert, daß es keinerlei Grund zur Sorge gibt. Heutzutage werden sogar Firewalls geknackt, und zwar durch dieselbe alte Methode, mit der die meisten Server geknackt werden: durch das Ausnutzen menschlicher Fehler.

6.5 Zusammenfassung

Wir haben festgestellt, daß jede Website geknackt werden kann, einschließlich der Sites von:

Erwarten Sie nicht, daß sich dieses Klima ändert. Während wir uns dem 21. Jahrhundert nähern, werden neue und effektivere Cracking-Methoden ans Tageslicht kommen. Diese werden von feindlich gesinnten Nationen benutzt, die unsere nationalen Infrastrukturen zerstören wollen. Darum geht es im nächsten Kapitel: die Kriegsführung im Internet.



vorheriges KapitelInhaltsverzeichnisStichwortverzeichnisKapitelanfangnächstes Kapitel