Aufrufe
vor 2 Monaten

Netzwoche 09/2021

  • Text
  • Wwwnetzmediench
  • Google
  • Informationen
  • Digitale
  • Schweiz
  • Swiss
  • Hacker
  • Angriffe
  • Mitarbeitenden
  • Netzmedien
  • Unternehmen

40 Technology

40 Technology Hintergrund Berufshacker: Forscher, Künstler, Konstrukteure Es ist ein Beruf mit zwiespältigem Ruf – zu Unrecht. Hacker decken Schwachstellen auf, erproben die Abwehr von Bedrohungen und schaffen das Bewusstsein dafür, dass IT-Sicherheit uns alle angeht. Drei Ethical Hacker erzählen, was sie an ihrer Arbeit reizt und was einen guten Hacker ausmacht. Autor: Joël Orizet « Wer sich ein Standing als Ethical Hacker erarbeitet hat, will das nicht verlieren. » Patrick Brielmayer, Geschäftsführer, Brielmayer Consulting Hats leben in der Grauzone: Sie verstossen teilweise gegen Gesetze, jedoch nicht aus Eigennutz, sondern weil sie – zumindest vorgeblich – höhere Ziele verfolgen. Und White Hats oder auch Ethical Hacker nennt man jene, die ausschliesslich im legalen Rahmen arbeiten, im Auftrag von Organisationen oder im Dienst der Allgemeinheit. White Hats sehen sich selbst in der Pflicht, Sicherheitslücken in IT-Systemen aufzudecken. Was die Veröffentlichung dieser Schwachstellen betrifft, gilt allerdings eine Art Gentlemen’s Agreement. Es nennt sich Responsible Disclosure, auf Deutsch: verantwortungsvolle Offenlegung. Das bedeutet, dass ein Ethical Hacker eine gefundene Sicherheitslücke zuerst dem Softwarehersteller oder dem betroffenen Unternehmen meldet und erst später publik macht. Die Idee dahinter: Der Hersteller oder der Betroffene bekommt Zeit, damit er die Lücke schliessen kann. Ein Grey Hat würde die Schwachstelle womöglich direkt offenlegen, um öffentlichen Druck auszuüben. Und ein Black Hat würde die Sicherheitslücke wohl verkaufen oder selbst ausnutzen. In der Realität ist diese Einteilung in Gut und Böse nicht vorprogrammiert. Es gibt Hacker, welche die Seite wechseln. Doch es spricht einiges dafür, dass man so etwas nur ein Mal macht. Er sitzt im Dunklen, trägt einen Hoodie und lässt giftgrüne Zahlen über den Bildschirm flattern: der klischeehafte Hacker, bekannt aus Fernsehen und Symbolbildern. Sieht albern aus, ist es auch. Echte Hacker sind keine Halunken. «Hacker bauen Dinge auf, Cracker zerstören sie», schreibt der Autor und Softwareentwickler Eric Raymond. Cracker? Das sind die Kriminellen, die Passwörter knacken und unerlaubt in Computer einbrechen. Doch über Hackerkreise hinaus fand die Bezeichnung keinen Anklang. Stattdessen grenzte man die guten von den bösen Hackern durch ein Symbol ab, das alten Western-Filmen entlehnt ist: Der Held trägt einen weissen Hut, der Schurke einen schwarzen. Und für die, die sich nicht festlegen wollen, gibt es einen grauen Hut. Der richtige Umgang mit Schwachstellen Black Hats dringen illegal in Systeme ein, um an Geld zu kommen, oder einfach nur um Schaden anzurichten. Grey Von der Neugier getrieben Patrick Brielmayer kennt die Welt der Black Hats. Er war früher selbst einer. Am Anfang war es pure Neugier, wie er sagt. Er war 15, trieb sich auf Hacker-Foren herum und kaufte sich dort ein Tool zum Verschlüsseln von Schadsoftware. Zwei Wochen später taugte es nicht mehr, weil es von den gängigen Antivirenprogrammen erkannt wurde. Deswegen fing er an, sich das Programmieren beizubringen. Ein Jahr darauf hatte er sein eigenes Tool, mit dem man Malware via Skype oder per Mail verschicken konnte – ohne dass die Antivirenprogramme Alarm schlugen. Später entwickelte er Trojaner, experimentierte mit Botnets und verdiente sein Geld im Darknet. Was hat Brielmayer dazu getrieben? «Es war der Reiz des Verbotenen», sagt er. «Vielleicht hat es auch mit Macht zu tun: Man tut es, weil man es kann.» Im Studium wechselte er die Seite. «Ich war es leid, ständig über die Schulter zu schauen. Mir war klar: Irgend- 09 / 2021 www.netzwoche.ch © netzmedien ag

Technology Hintergrund 41 wann wird jeder geschnappt.» Er ist allerdings davongekommen. «Ich war vorsichtig. Und ich habe früh genug damit aufgehört.» Heute sieht sich Brielmayer als Ethical Hacker. Er berät Firmen in Sicherheitsfragen, analysiert Malware und führt Penetration Tests durch, dringt also im Auftrag von Unternehmen in Systeme ein, um ihre Schwächen zu finden und zu beheben. Über seine Zeit als Black Hat spricht er offen, auch gegenüber den Kunden, wie er sagt. Wer auf die gute Seite gewechselt habe, sollte von seinen Erfahrungen berichten. «Black Hat zu sein, ist nicht schwer», sagt er. «Man muss nur die Lücke finden und schuldet niemandem Rechenschaft. White Hats hingegen müssen die Lücke auch schliessen, möglichst sichere Systeme aufbauen, die Verantwortung dafür übernehmen und den Kriminellen einen Schritt voraus sein.» Kommt eine Rückkehr auf die dunkle Seite infrage? «Auf keinen Fall. Wer sich ein Standing als Ethical Hacker erarbeitet hat, will das nicht verlieren.» Vertrauen ist schwer verdientes Kapital Black Hats, die auf die gute Seite wechseln – früher kam das öfter vor. Das wohl berühmteste Beispiel ist Kevin Mitnick, der in den 1980er- und 1990er-Jahren unter anderem in die Netzwerke des Pentagons und der NSA eindrang, fünf Jahre im Gefängnis sass und heute seine eigene Sicherheitsfirma leitet. Doch inzwischen rümpft man in der IT-Sicherheitsbranche die Nase über Hacker mit einer zwielichtigen Vergangenheit. Wohl auch deswegen, weil Black Hats in der Belegschaft ein Risiko darstellen könnten, vor allem für den eigenen Ruf. In IT-Sicherheitsfirmen findet man heutzutage kaum noch ehemalige Black Hats, wie Luca Cappiello sagt. Er leitet ein Team von Penetration-Testern bei Infoguard. Integrität ist für ihn ein hohes Gut. «Für einen White Hat ist Vertrauen das wichtigste Kapital. Das muss man sich erarbeiten. Keiner, der das geschafft hat, setzt es leichtfertig aufs Spiel.» Zudem gibt es mittlerweile genug Möglichkeiten, ganz legal ins Hacken einzusteigen. Besonders beliebt sind Capture-the-Flag-Wettbewerbe. Da können angehende Hacker auf spielerische Weise lernen, IT-Umgebungen zu analysieren, ihre Schwächen zu finden, sie auszunutzen und Systeme abzusichern. Solche Wettbewerbe bieten auch eine Plattform, um Talente zu finden. Gesucht: hartnäckige Tüftler, die gut mit Worten umgehen können Theoretisches Wissen ist wichtig: Software- und Webentwicklung, Kryptografie und Netzwerktechnik sind nur einige Fachgebiete, mit denen Hacker sich auskennen sollten. Luca Cappiello achtet aber vor allem auf charakterliche Stärken. «Die wichtigsten Skills für einen Penetration Tester sind Neugier und Ausdauer», sagt er. Denn die Jagd auf Schwachstellen kann mühsam sein. Wer es richtig machen will, kann sich nicht nur auf technische Hilfsmittel wie Software für die automatische Analyse von Netzwerken verlassen. Es braucht Zeit und Erfahrung, um zwischen Code-Zeilen Muster zu erkennen, Sicherheitslücken umfassend aufzudecken, sie zu beurteilen und zu beheben. Auch auf zwischenmenschliche Fähigkeiten kommt es an. Zum einen arbeiten Pentester meistens in Teams, wobei jeder sein Spezialgebiet hat. Zum anderen gehört es zum Job, Befunde zu präsentieren, Berichte zu schreiben und Strategien zu besprechen. «Dabei muss man seine Sprache und Schreibweise anpassen können», sagt Cappiello, «je nachdem, ob man die Belegschaft eines Unternehmens, das Management oder IT-Sicherheitsleiter ansprechen will.» Ausspähen, aushecken, ködern Die Kernaufgabe bleibt jedoch das Hacken. Dabei sitzen Pentester nicht nur am Rechner und überprüfen Anwendungen wie Onlineshops. Sie dringen auch in Gebäude ein, um zu testen, ob der Serverraum, das Archiv oder der Tresor tatsächlich sicher vor Zugriffen sind. Ob nun aber die physische oder die digitale Sicherheit auf dem Prüfstand steht, das Vorgehen bleibt gleich: Erst kommt die Recherche, dann kommt der Coup. Hacken erfordert einen detektivischen Spürsinn. Denn zunächst geht es darum, möglichst viel über das Ziel zu erfahren: Wer arbeitet dort? Wer geht ein und aus? Welche Sicherheitsvorkehrungen gibt es? Je mehr Informationen zusammenkommen, desto leichter fällt es, Schwachpunkte zu finden. Anschliessend folgt der kreative Teil: Ideen aushecken, Angriffe modellieren und durchziehen. Als Einfallstor « Die wichtigsten Skills für einen Penetration Tester sind Neugier und Ausdauer. » Luca Cappiello, Head Penetration Testing & Research, Infoguard Den vollständigen Artikel finden Sie online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 09 / 2021

Archiv

Specials