Ich schaue gerade die zweite Staffel
von „Mr. Robot“, eine Serie, die auf Amazon mit der ersten Staffel schon einen
kleinen Kultstatus erreicht und mit der 2. Staffel vom Zuschauer einiges an
Geduld abverlangt. Denn die vielen Zeitsprünge, den inneren Zerwürfnissen des
Protagonisten zu folgen und die nach sechs Folgen doch abgedroschene, weil
immer gleiche Ästhetik – irgendetwas zwischen Fincher und Tarrantino – mit niemals
in der Mitte des Bildschirms agierenden Personen ... nun, das ist anstrengend.
Wenn da nicht die vielen netten Einfälle wären, das Intro zu einer Folge mit Musik
von Depeche Mode und der Tatsache, dass die Geschichte wirklich Neuland
betritt, dann hätte ich die Serie vermutlich schon aufgegeben.
Am Ende der ersten
Staffel hat „Fsociety“ (eine Art Anonymus Bewegung) die Firma „e-corp“, den größten
Globalplayer auf dem Finanzmarkt, gehacked. Alle Schulden auf allen Bankkonten sind
gelöscht und das gesamte Finanzsystem erfährt einen Reboot. Darum geht es in
der zweiten Staffel.
In vielen
Einstellungen blicken wir den Hackern über die Schulter. Sie nutzen ein
Betriebssystem und Tools, die es tatsächlich gibt. Die Sprache der Hacker ist
Python und das Betriebssystem nennt sich Kali-Linux. Eine Anleitung, genau
abgestimmt auf Menschen wie mich, die über genug Grundwissen verfügen, um so
ein System zu nutzen, aber keinen blassen Schimmer von den eigentlichen Tools
haben, gibt es in mehreren Fachbüchern, die man ganz normal kaufen kann. Das
macht mich natürlich neugierig. So neugierig, dass eines dieser Bücher meine
aktuelle Lektüre ist und bei mir Kali-Linux in einer virtuellen Maschine läuft.
Um es klar zu sagen: die Grauzone, in die man sich begibt, ist dunkelgrau. Denn
so oft der Autor des Fachbuches auch betont, dass Netzwerkscans, Exploits etc.
nur gegen Rechner angewendet werden dürfen, bei denen das „Opfer“ davon
Kenntnis hat – die Versuchung, einen Schritt weiterzugehen ist natürlich groß.
Ich werde aber
meine Kenntnisse, die auch nach der Lektüre im kleinen Rahmen bleiben werden,
nur auf meine Systeme anwenden, d.h. mit einem Notebook mein eigenes Netzwerk
hacken, Netzwerktraffic auslesen und schauen, was er verrät und einen Angriff
von außen simulieren.
Im Moment bin ich
an einem Punkt, in dem die Portscans beschrieben werden. Hat man eine IP
Adresse ausfindig gemacht, dann kann man diese Adresse scannen und schauen,
welche Ports dort zugänglich sind. Jder offene Port ist ein potentieller Einfallspunkt in den Rechner. Wie man eine IP Adresse herausfindet (und
unglaublich viel zusätzliche Informationen) zu einem einfachen Namen einer
Person oder eines Unternehmens – das ist der Teil der „Aufklärung“ ganz am
Anfang. Jetzt geht es an die praktische Anwendung.
Hacker setzen vor
allem auf eines: den Systemadministrator, der sich sagt „Never change a running
system“ und Sicherheitspatche und ihre Hintergründe wohl eher als lästig abtut.
Wer glaubt, dass das die Ausnahme ist, der irrt. Vor zwei Jahren gab es eine
Initiative von Providern, die IP Adresse ihrer User zu anonymisieren. Damit ist
keine gänzliche Anonymität gemeint– gemeint ist vielmehr das Fehlen der IP Adresse in den Metadaten
während des Surfens, die in Log-Dateien gespeichert werden.
Ich kann aus
eigener Erfahrung sagen, dass es ein Leichtes ist, dies zu umgehen, bzw. darauf zu vertrauen, dass ein großer Teil von Providern gar nicht daran denkt, das umzusetzen. Auch wenn
mein Provider die IP Adressen nicht mehr in den Log Files protokolliert – auf meinen
Seiten läuft in einem 1x1 Pixel großen IFrame ein PHP Script, dass jeden
Zugriff auf eine meiner Seiten protokolliert. Ca. 60% aller Header haben eine
IP Adresse und mit einem Lokalisierungsdienst weiß ich relativ genau Bescheid,
welcher User aus welcher Stadt wie oft und wie lange auf meiner Seite surft. Ich
kenne den Browser, das Betriebssystem, die Admin Adresse seines Providers. Selbst Google Analytics zeigt diese Daten nicht. Ich kann bestenfalls die Provider bis auf ein Bundesland einschränken.
Besucher auf einer meiner Seiten gestern / vorgestern - IP Adressen werden mit einem Script sofort lokalisiert. |
Das ist nicht überraschend und nichts weltbewegendes. Wenn man dann aber vielleicht noch den Namen eines Haustieres kennt, ein Geburtsdatum eines Familienmitgliedes und mit Kali-Linux über alle Tools verfügt, um diese Informationen in allen gängigen Varianten zu kombinieren, dann kommt man schon ins Grübeln. Wie man an persönliche Informationen kommt? Ganz einfach – auch dafür gibt es Tools, die in Social Media die Texte durchforsten, ja sogar aus Fotos und Office Dokumenten die Metadaten gesammelt auslesen und zu einem Dossier zusammenstellen. Da muss nur einmal der richtige Hinweis irgendwo auftauchen und schon hat man einen brauchbaren Ansatz. Ein Foto mit dem Untertitel „Mein Fiffi und ich“ ist tödlich, wenn der Fiffi irgendwo Teil eines Passwortes ist.
Nur Passwörter ab
16 Stellen mit Großbuchstaben, Zahlen und Sonderzeichen bieten eine gewisse
Sicherheit. Um sich solche Passwörter zu merken oder erstellen zu lassen, gibt
es brauchbare, kostenfreie Tools (hier ein Beispiel).
Kali-Linux: Ein einfacher Portscan mit nmap - mit "host" vorher die IP Adresse ermittelt |
Ich werde von den weiteren Schritten hier keine Screenshots machen. Ein einfacher(!) Portscan von www.killert.de (siehe oben) zeigt mögliche, aber nicht ungewöhnliche Angriffspunkte. Ein weitergehender Scan der anderen ca. 2000 Ports hat noch andere interessante Aspekte gezeigt. Aber ich scanne da meinen Provider und nicht mein eigenes Netzwerk.
Nun, ich vermelde
hier, wenn ich neue Erkenntnisse gewinne.
Hier geht es zu
Kali-Linux (vollkommen legal, wenn man es ethisch unbedenklich einsetzt)
Keine Kommentare:
Kommentar veröffentlichen