Computerkriminalität Protokoll eines Hacks
Sicherheitsingenieure eines US-Konzerns haben den größten Diebstahl ihrer Firmengeschichte protokolliert. Bericht eines aufwendigen und lange geplanten Einbruchs.
© Win McNamee/Getty Images
Für die USA sind ausländische Hacker ein Fall für das Heimatschutzministerium, man sieht sich bereits in einem Krieg mit ihnen
Kein einziger Übeltäter hat in diesem Fall das Firmengelände betreten. Es waren Hacker. Und was für welche. Zwei gut organisierte Truppen sind wochenlang in die Computer des Konzerns eingedrungen. 150 Mal. Haben dabei das gesamte Unternehmen ausgespäht: Geschäftsgeheimnisse. Baupläne. Das war neu. Das war bedrohlich und so notierten die internen Ermittler, was sie im Nachhinein rekonstruieren konnten: Operational Profile of an Advanced Cyberintrusion heißt ihr Bericht, und er liegt der Öffentlichkeit dank des Rüstungskonzerns Northrop Grumman vor, der ihn kürzlich in Auszügen veröffentlicht hat. Er ist Bestandteil einer Studie über die Fähigkeiten Chinas, einen Cyberwar zu führen und die Computernetzwerke westlicher Konzerne auszuspähen. Sie entstand für eine US-Regierungskommission.
Die Attacke auf das nicht namentlich genannte Unternehmen ist Teil eines elektronisch geführten Wirtschaftskrieges. Es geht um die Macht im Informationszeitalter, um den Wohlstand im 21. Jahrhundert. Es geht um die Verteilung von Datenressourcen, die schon mindestens so wichtig sind wie das Öl.
Anzeige
Die internen Ermittler haben lange gebraucht, um zu verstehen, wie ihnen geschehen war: Wie so oft verseuchten die Eindringlinge zunächst ein paar Computer mit Spionagesoftware. Dafür reichten eine E-Mail mit einem scheinbar ungefährlichen Anhang und ein unvorsichtiger Mitarbeiter. Sobald der Anhang geöffnet wurde, konnte der Computer von außen übernommen und ausgespäht werden.
Dann, so fanden die Ermittler anhand ihrer internen Datensicherung und mithilfe von Network Forensic, einer Software zur Analyse von Datenströmen, heraus, bohrte das erste Hackerteam den Konzern von unten auf – immer nach Büroschluss. Auf ihrem Weg durch die Firma nutzten die Hacker eine Schwachstelle im Windows Remote Desktop. Das Programm erlaubt es der IT-Abteilung in großen Computernetzwerken, die Rechner einzelner Mitarbeiter fernzusteuern und zu warten. Die Hacker drehten diese Funktion um und bekamen auf diese Weise Zugang zu den Zentralrechnern. Auf verschiedenen Servern fanden sie alle wichtigen Passwörter. Damit hatten sie den Generalschlüssel in der Hand. Dieses Team nannten sie später das "Breach Team", das die "Bresche schlug".
Doch übermütig wurden sie deshalb nicht. Sie waren Profis. "Obwohl sie die Gelegenheit dazu gehabt hätten, haben sie (die Eindringlinge) nicht einfach genommen, was sie kriegen konnten, sondern haben ihre Zieldateien sehr genau ausgewählt", schreiben die Ermittler in ihrem Protokoll. "Das legt nahe, dass sie sehr diszipliniert waren und über eine genaue Liste der Informationen verfügten, die sie stehlen wollten."
Tatsächlich machten sich die Angreifer in aller Ruhe ein Bild vom Unternehmen und seinem Aufbau. Dabei sammelten sie weitere Passwörter auf und nahmen wechselnde Identitäten an, je nachdem, in welchem Teil des Unternehmens sie sich gerade bewegten. Für die IT-Sicherheitsleute sah es so aus, als ob einzelne Mitarbeiter ausnahmsweise länger arbeiten würden.
Übersicht zu diesem Artikel
- Seite 1 Protokoll eines Hacks
- Seite 2 Der Ursprung? Immer wieder China
Anzeige
- Datum 17.02.2010 - 15:05 Uhr
- Seite 1 | 2 | Auf einer Seite lesen
- Quelle ZEIT ONLINE
- Kommentare 8
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
..ich bin seit längerem dazu übergegangen keine Produkte aus China mehr zu kaufen(Soweit es mir möglich ist die Herkunft zu erkennen).
Dieser Staat hält sich systematisch an keine "Spielregeln".
Ich lade alle ein diesem Beispiel zu folgen.
Wahrscheinlich die einzige Art nachdrücklich Einfluß zu nehmen.
Ich würde noch weiter gehen: Esst nicht beim Chinesen, wegen Hundefleisch und so. Boykottiert Asia-Shops, diese Asiaten sehen eh alle gleich aus, wahrscheinlich sind das alles Mao-Agenten.
Sie können ja kaufen, was und wo sie wollen. Viel Spaß dabei, ein Auto zu finden, wo keine Teile aus China verbaut sind.
Die Wahrheit ist, dass hier wie immer die Sicherheitstechnik ds Unternehmens versagt hat. Sensible Daten werden nicht auf öffentlich zugänglichen Servern gelagert, sollte das Mantra sein. Die Chinesen ins Spiel zu bringen, war mal wieder typisch, es gibt offenbar keinen Beweis für deren Täterschaft. Ebensogut hätte es ein amerikanischer Konkurrent sein können, die haben mehr Geld und Know-How. Und die können auch Hacker aus aller Welt bezahlen, um selbst von jedem Verdacht befreit zu sein. Ab nein, die üblichen Verdächtigen werden wieder als Auftraggeber und Auftragnehmer ausgemacht, die Russen sind ja von Natur aus kriminell veranlagt, weiß man seit Hitler.
Ich würde noch weiter gehen: Esst nicht beim Chinesen, wegen Hundefleisch und so. Boykottiert Asia-Shops, diese Asiaten sehen eh alle gleich aus, wahrscheinlich sind das alles Mao-Agenten.
Sie können ja kaufen, was und wo sie wollen. Viel Spaß dabei, ein Auto zu finden, wo keine Teile aus China verbaut sind.
Die Wahrheit ist, dass hier wie immer die Sicherheitstechnik ds Unternehmens versagt hat. Sensible Daten werden nicht auf öffentlich zugänglichen Servern gelagert, sollte das Mantra sein. Die Chinesen ins Spiel zu bringen, war mal wieder typisch, es gibt offenbar keinen Beweis für deren Täterschaft. Ebensogut hätte es ein amerikanischer Konkurrent sein können, die haben mehr Geld und Know-How. Und die können auch Hacker aus aller Welt bezahlen, um selbst von jedem Verdacht befreit zu sein. Ab nein, die üblichen Verdächtigen werden wieder als Auftraggeber und Auftragnehmer ausgemacht, die Russen sind ja von Natur aus kriminell veranlagt, weiß man seit Hitler.
Prinzipiell sollte den Leuten klar sein, dass die eingesetzen Mittel für diesen Hack nur an einem Punkt Know-how bedurften: Dem Schreiben der Schadsoftware.
Der Rest war keineswegs irgendein Hokuspokus, sondern schlicht eine Aktion von Menschen, die begreifen, wie prinzipiell Netzwerke aussehen und wie eine Firmenstruktur ausgebaut ist.
Es unterstreicht, wie sehr mittlerweile die Notwendigkeit vorhanden ist, dass jeder Nutzer eine grundlegende "Rechnerbildung" mitbringt.
Ich würde noch weiter gehen: Esst nicht beim Chinesen, wegen Hundefleisch und so. Boykottiert Asia-Shops, diese Asiaten sehen eh alle gleich aus, wahrscheinlich sind das alles Mao-Agenten.
Sie können ja kaufen, was und wo sie wollen. Viel Spaß dabei, ein Auto zu finden, wo keine Teile aus China verbaut sind.
Die Wahrheit ist, dass hier wie immer die Sicherheitstechnik ds Unternehmens versagt hat. Sensible Daten werden nicht auf öffentlich zugänglichen Servern gelagert, sollte das Mantra sein. Die Chinesen ins Spiel zu bringen, war mal wieder typisch, es gibt offenbar keinen Beweis für deren Täterschaft. Ebensogut hätte es ein amerikanischer Konkurrent sein können, die haben mehr Geld und Know-How. Und die können auch Hacker aus aller Welt bezahlen, um selbst von jedem Verdacht befreit zu sein. Ab nein, die üblichen Verdächtigen werden wieder als Auftraggeber und Auftragnehmer ausgemacht, die Russen sind ja von Natur aus kriminell veranlagt, weiß man seit Hitler.
Die größten Hacker sind immer noch CIA und NSA. In jedem Betriebssystem gibt es ein Fenster, über das diese Firmen in jeden Computer eindringen können. Bei großen Anlagen auch, wenn sie nicht am Netz angeschlossen ist.
Die Chinesen wissen und nutzen das, wie man kürzlich erfahren konnte.
Den Geheimdiensten wäre es sicher nicht recht, wenn es ein Betriebssystem gäbe, das vor Hackern sicher wäre. Dann wüssten sie ja nichts mehr. Und deshalb gibt es diese Computer auch nicht. Machbar wären sie.
Falls Sie mit Ihrer Unterstellung recht haben sollten, so bin ich trotzdem naiv genug zu glauben, dass unmoegliche jede Linux-Distribution von diesen maechtigen Organisationen beeinflusst ist. Es sind einfach zu viele, die zu viele Dinge unterschiedlich machen. (Ganz abgesehen von der Offenheit des Quellcode, die es prinzipiell sehr anstrengend macht, verlaesslich Hintertueren offen zu halten.)
Wie man ohne manuellen Einbruch in ein nicht ans Internet angeschlossenes System eindringen will, sollten Sie auch noch einmal genauer ueberdenken - es gibt ein paar physikalische Gesetze, die zu brechen selbst amerikanische Geheimdienste nicht in der Lage sind.
Gegen Naivität habe ich kein Rezept. Von welchen physikalischen Gesetzen sprechen Sie?
Falls Sie mit Ihrer Unterstellung recht haben sollten, so bin ich trotzdem naiv genug zu glauben, dass unmoegliche jede Linux-Distribution von diesen maechtigen Organisationen beeinflusst ist. Es sind einfach zu viele, die zu viele Dinge unterschiedlich machen. (Ganz abgesehen von der Offenheit des Quellcode, die es prinzipiell sehr anstrengend macht, verlaesslich Hintertueren offen zu halten.)
Wie man ohne manuellen Einbruch in ein nicht ans Internet angeschlossenes System eindringen will, sollten Sie auch noch einmal genauer ueberdenken - es gibt ein paar physikalische Gesetze, die zu brechen selbst amerikanische Geheimdienste nicht in der Lage sind.
Gegen Naivität habe ich kein Rezept. Von welchen physikalischen Gesetzen sprechen Sie?
Falls Sie mit Ihrer Unterstellung recht haben sollten, so bin ich trotzdem naiv genug zu glauben, dass unmoegliche jede Linux-Distribution von diesen maechtigen Organisationen beeinflusst ist. Es sind einfach zu viele, die zu viele Dinge unterschiedlich machen. (Ganz abgesehen von der Offenheit des Quellcode, die es prinzipiell sehr anstrengend macht, verlaesslich Hintertueren offen zu halten.)
Wie man ohne manuellen Einbruch in ein nicht ans Internet angeschlossenes System eindringen will, sollten Sie auch noch einmal genauer ueberdenken - es gibt ein paar physikalische Gesetze, die zu brechen selbst amerikanische Geheimdienste nicht in der Lage sind.
Die Amis sind doch selbst die grössten Datendiebe: Trojaner der Geheimdienste (Stichwort: NSAKey) in Windows und Lotus, Unterseekabel, die direkt an die NSA angeschlossen sind, Googles Datensammlungswut von Suchergebnissen, IP-Adressen, Tippgeschwindigkeit, etc. pp., und der jüngste, glücklicherweise vom Europäischen Parlament vereitelte, Versuch an die Bankdaten von Millionen von Europäern zu kommen sind wohl nur die Spitze. Mit dem althergebrachten Russland und China Bashing, so berechtigt das auch sein mag, versuchen die US-Amerikaner vor allem eines: von ihren eigenen Sauereien und ihrer eigenen Not, nämlich den technologischen Anschluss nicht zu verpassen, abzulenken. Dann vielleicht eher: kauft nicht beim Ami. Auf der anderen Seite: was, ausser nem iPhone (vllt. in China produziert?), stellen die eigentlich noch her?
Mit Linux kann man sichere Sturkturen aufbauen. Wenn man auf Microsoft Windows verzichtet, gewinnt man schon einiges an Sicherheit. Es gibt z.B. gentoo-Linux, das grundsaetzlich komplett aus dem Quellcode neu uebersetzt wird. Auch in Punkto Firewalls wird vieles nicht gemacht, was moeglich ist. Richtig aufwaendig ist aber die Ueberwachung von Logfiles, weil bei einer nur automatisierten Ueberwachung zu viel uebersehen wird. Ausserdem muss man Logfiles so anlegen, dass Sie nicht mehr veraendert werden koennen (Geht z.B. durch Ausgabe der Logs ueber eine serielle Leitung an einen nicht am Netz haengenden Computer). Bei Mail koennte man auf ein webbasiertes System umsteigen, so dass nicht jeder PC selbst Mails verschicken kann.
Die Amis sind doch selbst die grössten Datendiebe: Trojaner der Geheimdienste (Stichwort: NSAKey) in Windows und Lotus, Unterseekabel, die direkt an die NSA angeschlossen sind, Googles Datensammlungswut von Suchergebnissen, IP-Adressen, Tippgeschwindigkeit, etc. pp., und der jüngste, glücklicherweise vom Europäischen Parlament vereitelte, Versuch an die Bankdaten von Millionen von Europäern zu kommen sind wohl nur die Spitze. Mit dem althergebrachten Russland und China Bashing, so berechtigt das auch sein mag, versuchen die US-Amerikaner vor allem eines: von ihren eigenen Sauereien und ihrer eigenen Not, nämlich den technologischen Anschluss nicht zu verpassen, abzulenken. Dann vielleicht eher: kauft nicht beim Ami. Auf der anderen Seite: was, ausser nem iPhone (vllt. in China produziert?), stellen die eigentlich noch her?
Mit Linux kann man sichere Sturkturen aufbauen. Wenn man auf Microsoft Windows verzichtet, gewinnt man schon einiges an Sicherheit. Es gibt z.B. gentoo-Linux, das grundsaetzlich komplett aus dem Quellcode neu uebersetzt wird. Auch in Punkto Firewalls wird vieles nicht gemacht, was moeglich ist. Richtig aufwaendig ist aber die Ueberwachung von Logfiles, weil bei einer nur automatisierten Ueberwachung zu viel uebersehen wird. Ausserdem muss man Logfiles so anlegen, dass Sie nicht mehr veraendert werden koennen (Geht z.B. durch Ausgabe der Logs ueber eine serielle Leitung an einen nicht am Netz haengenden Computer). Bei Mail koennte man auf ein webbasiertes System umsteigen, so dass nicht jeder PC selbst Mails verschicken kann.
Die Amis sind doch selbst die grössten Datendiebe: Trojaner der Geheimdienste (Stichwort: NSAKey) in Windows und Lotus, Unterseekabel, die direkt an die NSA angeschlossen sind, Googles Datensammlungswut von Suchergebnissen, IP-Adressen, Tippgeschwindigkeit, etc. pp., und der jüngste, glücklicherweise vom Europäischen Parlament vereitelte, Versuch an die Bankdaten von Millionen von Europäern zu kommen sind wohl nur die Spitze. Mit dem althergebrachten Russland und China Bashing, so berechtigt das auch sein mag, versuchen die US-Amerikaner vor allem eines: von ihren eigenen Sauereien und ihrer eigenen Not, nämlich den technologischen Anschluss nicht zu verpassen, abzulenken. Dann vielleicht eher: kauft nicht beim Ami. Auf der anderen Seite: was, ausser nem iPhone (vllt. in China produziert?), stellen die eigentlich noch her?
Gegen Naivität habe ich kein Rezept. Von welchen physikalischen Gesetzen sprechen Sie?
Mit Linux kann man sichere Sturkturen aufbauen. Wenn man auf Microsoft Windows verzichtet, gewinnt man schon einiges an Sicherheit. Es gibt z.B. gentoo-Linux, das grundsaetzlich komplett aus dem Quellcode neu uebersetzt wird. Auch in Punkto Firewalls wird vieles nicht gemacht, was moeglich ist. Richtig aufwaendig ist aber die Ueberwachung von Logfiles, weil bei einer nur automatisierten Ueberwachung zu viel uebersehen wird. Ausserdem muss man Logfiles so anlegen, dass Sie nicht mehr veraendert werden koennen (Geht z.B. durch Ausgabe der Logs ueber eine serielle Leitung an einen nicht am Netz haengenden Computer). Bei Mail koennte man auf ein webbasiertes System umsteigen, so dass nicht jeder PC selbst Mails verschicken kann.
Bitte melden Sie sich an, um zu kommentieren