Jeder kennt diese Hacker-Angriffsszene aus NCIS. Abby Sciuto (Pauley Perrette) und Timothy McGee (Sean Murray) arbeiten in ihrem schwach beleuchteten forensischen Labor und müssen einen Cyberkriminellen abwehren, der unbedingt Informationen über ihre Ermittlungen stehlen will.
Inmitten einer Flut von unentzifferbarem Techno-Gebrabbel (Er ist durch die Firewall gebrannt! Dies ist eine DOD-Level-9-Verschlüsselung!) beginnen die beiden, sich zu wehren. Schließlich tippen sie gleichzeitig auf derselben Tastatur. Es ist – in Ermangelung eines besseren Begriffs – lächerlich.
Inhaltsverzeichnis
Nimm Platz. Wir hacken
Diese Szenen verkörpern alles, was daran falsch ist, wie Hacking in der Welt des Fernsehens und des Films dargestellt wird. Einbrüche in entfernte Computersysteme erfolgen in wenigen Augenblicken, begleitet von einer Vielzahl bedeutungsloser grüner Texte und zufälliger Popups.
Die Realität ist viel weniger dramatisch. Hacker und legitime Penetrationstester nehmen sich die Zeit, um die Netzwerke und Systeme zu verstehen, auf die sie abzielen. Sie versuchen, Netzwerktopologien sowie die verwendete Software und Geräte herauszufinden. Dann versuchen sie herauszufinden, wie diese ausgenutzt werden können.
Vergessen Sie das auf NCIS dargestellte Echtzeit-Counter-Hacking; es funktioniert einfach nicht so. Sicherheitsteams konzentrieren sich lieber auf die Verteidigung, indem sie sicherstellen, dass alle nach außen gerichteten Systeme gepatcht und richtig konfiguriert sind. Gelingt es einem Hacker irgendwie, die externe Abwehr zu durchbrechen, übernehmen automatisierte IPS (Intrusion Prevention Systems) und IDS (Intrusion Detection Systems) die Schadensbegrenzung.
Diese Automatisierung existiert, weil im Verhältnis dazu nur sehr wenige Angriffe gezielt werden. Vielmehr sind sie opportunistischer Natur. Jemand könnte einen Server so konfigurieren, dass er das Internet durchsucht und nach offensichtlichen Lücken sucht, die er oder sie mit geskripteten Angriffen ausnutzen kann. Da diese in so großen Mengen auftreten, ist es nicht wirklich haltbar, sie alle manuell zu behandeln.
Das meiste menschliche Engagement findet in den Momenten nach einer Sicherheitsverletzung statt. Die Schritte umfassen den Versuch, den Eintrittspunkt zu erkennen und ihn zu schließen, damit er nicht wiederverwendet werden kann. Incident-Response-Teams versuchen auch festzustellen, welcher Schaden angerichtet wurde, wie er behoben werden kann und ob es Probleme bei der Einhaltung gesetzlicher Vorschriften gibt, die angegangen werden müssen.
Das macht keine gute Unterhaltung. Wer will schon zusehen, wie jemand akribisch Dokumentationen für obskure Unternehmens-IT-Appliances durchforstet oder Server-Firewalls konfiguriert?
Erobere die Flagge (CTF)
Hacker kämpfen gelegentlich in Echtzeit, aber normalerweise zu „Requisiten“ und nicht zu strategischen Zwecken.
Wir reden über Capture the Flag (CTF)-Wettbewerbe. Diese finden oft auf infosec-Konferenzen statt, wie die verschiedenen BSides-Events. Dort treten Hacker während einer bestimmten Zeit gegen ihre Kollegen an, um Herausforderungen zu meistern. Je mehr Herausforderungen sie gewinnen, desto mehr Punkte erhalten sie.
Es gibt zwei Arten von CTF-Wettbewerben. Während eines Red Team-Events versuchen Hacker (oder ein Team von ihnen) erfolgreich in bestimmte Systeme einzudringen, die keine aktive Verteidigung haben. Der Widerspruch ist eine Form des Schutzes, die vor dem Wettbewerb eingeführt wird.
Bei der zweiten Art von Wettbewerb treten rote Teams gegen defensive blaue Teams an. Rote Teams punkten durch das erfolgreiche Durchdringen von Zielsystemen, während die blauen Teams danach beurteilt werden, wie effektiv sie diese Angriffe abwehren.
Die Herausforderungen unterscheiden sich je nach Veranstaltung, aber sie dienen in der Regel dazu, die Fähigkeiten zu testen, die von Sicherheitsexperten täglich verwendet werden. Dazu gehören Programmierung, das Ausnutzen bekannter Schwachstellen in Systemen und Reverse Engineering.
Obwohl CTF-Events ziemlich konkurrenzfähig sind, sind sie selten kontrovers. Hacker sind von Natur aus neugierige Menschen und neigen auch dazu, ihr Wissen mit anderen zu teilen. Es ist also nicht ungewöhnlich, dass gegnerische Teams oder Zuschauer Informationen austauschen, die einem Rivalen helfen könnten.
CTF aus der Ferne
Es gibt natürlich einen Plot-Twist. Zum jetzigen Zeitpunkt wurden aufgrund von COVID-19 alle persönlichen Sicherheitskonferenzen 2020 abgesagt oder verschoben. Menschen können jedoch weiterhin an einer CTF-Veranstaltung teilnehmen, während sie die Regeln für Unterkünfte oder soziale Distanzierung einhalten.
Seiten wie CTFZeit aggregieren anstehende CTF-Events. Wie Sie es bei einer persönlichen Veranstaltung erwarten würden, sind viele davon wettbewerbsfähig. CTFTime zeigt sogar eine Bestenliste der erfolgreichsten Teams an.
Wenn Sie lieber warten möchten, bis die Dinge wieder geöffnet sind, können Sie auch an Solo-Hacking-Challenges teilnehmen. Die Webseite Root-Me bietet vielfältige Herausforderungen, die Hacker auf die Probe stellen.
Eine andere Möglichkeit, wenn Sie keine Angst haben, eine Hacking-Umgebung auf Ihrem PC zu erstellen, ist Verdammt anfällige Webanwendung (DVWA). Wie der Name schon sagt, weist diese Webanwendung absichtlich Sicherheitslücken auf, die es Möchtegern-Hackern ermöglichen, ihre Fähigkeiten auf sichere und legale Weise zu testen.
Es gibt nur eine Regel: Zwei Leute an einer Tastatur, Leute!