Überwachung von Darknet-Aktivitäten

Wie Hacker-News Cyberangriffe vorbeugen



Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Fahmida Y. Rashid ist als Security-Autorin für unsere US-Schwesterpublikation InfoWorld tätig.
Der Schutz vor Hacker-Angriffen beschäftigt Unternehmen auf der ganzen Welt. Die zunehmende Bedrohungslage erfordert neue, vorausschauende Methoden. Sie könnten zum Beispiel ganz einfach einen "Lauschangriff" auf potentielle Angreifer starten.

In einem Meer der Schwachstellen und Sicherheitslücken ist es nahezu unmöglich herauszufinden, welche IT-Security-Probleme als erstes anzugehen sind. Zwar stellen IT-Hersteller und Systemhäuser regelmäßig Infos zu neuen Angriffsvektoren zur Verfügung, allerdings gibt es da eine sehr nützliche Option: Belauschen Sie doch einfach die Hacker.

Hacker-Foren als Frühwarnsystem

Aufgrund der sich immer weiter zuspitzenden Bedrohungslage legen die meisten Unternehmen ihr Vulnerability Management in die Hände der IT-Hersteller. Allerdings werden Security-Schwachstellen oft nicht zuerst von diesen entdeckt - und auf ein offizielles Statement zu warten, kann Unternehmen Tage oder gar Wochen zurückwerfen.

Denn die Hacker diskutieren nur Stunden nach Bekanntwerden einer Sicherheitslücke über diese und tauschen Tutorials darüber aus, wie sich die Schwachstelle optimal ausnutzen lässt, weiß Levi Grundert, Vice President of Threat Intelligence beim Bedrohungsanalyse-Dienstleister Recorded Future: "Typischerweise beginnen die Diskussionen innerhalb von 24 bis 48 Stunden, nachdem die Schwachstelle öffentlich bekannt geworden ist." Woher er das weiß? Bei Recorded Future hat man sich die Mühe gemacht und die Kommunikation innerhalb halbseidener Foren tiefgehend analysiert.

Die Hinweise der Anbieter, Blogposts, Mailing-Listen und sonstige Alerts werden auch von den Angreifern gelesen. Umso wichtiger ist es also, herauszufinden, was das Interesse der Hacker weckt und wie sie planen, bestimmte Sicherheitslücken auszunutzen. Mit dieser Methode können sich Unternehmen optimal auf die nächste Welle von Cyberattacken vorbereiten.

Faktor Zeit als Einfallstor für Cyberkriminelle

Eine im letzten Jahr aufgetretene Java-Sicherheitslücke ist ein gutes Beispiel dafür, wie schnell die Hacker arbeiten: Auf einer Konferenz im Januar 2015 wurde die Schwachstelle erstmals bekannt, blieb jedoch bis Anfang November unbeachtet. Zu diesem Zeitpunkt stellten Forscher von FoxGlove SecuritySecurity fest, dass die Sicherheitslücke einige wichtige Enterprise-Applikationen wie WebSphere und JBoss betrifft. Oracle und Jenkins brauchten im Anschluss zwölf beziehungsweise neunzehn Tage, bis sie eine Stellungnahme veröffentlichten. Alles zu Security auf CIO.de

Innerhalb der Hacker-Community entbrannte dagegen innerhalb von Stunden einen Diskussion um den Blogpost von FoxGlove. Sechs Tage später wurde ein "proof-of-concept exploit code" verbreitet, bevor am 13. November ein detailliertes Exploit Tutorial auftauchte - fünf Tage vor der ersten Stellungnahme Oracles. In der ersten Dezemberwoche tauschten die Hacker bereits Namen von betroffenen Unternehmen und Organisationen aus - inklusive spezifischen Links, über die die Schwachstelle ausgenutzt werden konnte.

"Offensichtlich ist der zeitliche Abstand zwischen Bekanntwerden einer Sicherheitslücke und dem Patch Release oder Workaround für Angreifer enorm wertvoll. Für Unternehmen kann dieses kleine Zeitfenster desaströse Folgen haben, insbesondere wenn detaillierte, mehrsprachige Exploit-Tutorials auftauchen", kommentiert Grundert.

Ein weiteres Beispiel dafür, dass Hacker die ausgedehnten Reaktionszeiten ganz gezielt für sich nutzen, ist die OPcache Binary Webshell-Schwachstelle in PHP 7: Am 27. April beschrieb man beim Security-Anbieter GoSecure die Schwachstelle, am 30. April fanden die Spezialisten von Recorded Future ein Tutorial, dass genau beschrieb, wie die Schwachstelle auszunutzen ist - inklusive Referenzen zu dem Blog-Beitrag von GoSecure. Zwar betraf die Sicherheitslücke nicht generell alle PHP-Applikationen, dennoch hätten Angreifer mit Hilfe des Tutorials Server mit potentiell gefährlichen Konfigurationen deutlich leichter identifizieren können.

Zur Startseite