Thema: [Brainstorming] Möglichkeiten des Hackens

[Alex]

Ich benötige für ein Szenario Informationen was heutzutage bzgl. des Hackens von Daten möglich ist:
Kann man bspw. übers Internet in die Zulassungsstelle, um nach Nummernschilder zu suchen, kann man übers Internet ein Bankcomputer knacken oder kann man sich übers Internet in den Polizeicomputer einwählen.
Wenn nicht über das Internet, kann ich bspw. auf sensible Daten der Bank zugreifen wenn ich in die Bank eingebrochen bin und an einem Terminal sitze.

Ich will keine illegalen Dinger drehen,  ich brauche nur eine Info inwieweit ein Hacker (spieltechnisch) so etwas machen könnte. Zu detailreich muß die Info auch nicht sein, es geht nur daraum, wie welche Möglichkeiten der Datenbeschaffung ein Superhacker hat.

[Dash Bannon]

kommt natürlich aufs Setting an..

wenn das eher..naja..'Actionfilm/Agentenfilm' mässig ist
dann kommt der an alles dran was halt der Story dienlich ist 
keine besonders hilfreiche Antwort vielleicht, aber es muss ja nicht um Realismus gehen..

ansonsten kommt der Hacker potentiell an alles dran was auf Computern gespeichert ist (Passwörter, Kontonummern, Identitäten..) und hat auf alles zugriff was eben von Computern gesteuert wird (Sicherheitssysteme, Geldtransfers)

[Alex]

kommt natürlich aufs Setting an..

wenn das eher..naja..'Actionfilm/Agentenfilm' mässig ist
dann kommt der an alles dran was halt der Story dienlich ist 
keine besonders hilfreiche Antwort vielleicht, aber es muss ja nicht um Realismus gehen..

Ich wollte erst einmal wissen was momentan möglich ist. An das Setting anpassen ist dann kein Problem mehr.
In MI-1 muß Ethan Hawk auch in Langley einbrechen, bevor er an die CIA-Daten kommt. Wenn das vom Internet ginge, hätte er das sicherlich auch gemacht.

[Ein]

An was man kommt, hängt grundsätzlich davon ab, welche Rechte man sich auf dem Zielcomputer ergaunern kann. Je nach Organisation ist das mehr oder weniger fein abgestuft, von kann nichts bis kann alles.

Außerdem gibt es noch Security through Obscurity. Sprich man muss überhaupt erst einmal wissen, wo die Daten liegen, um an sie heranzukommen, da Dateiordner versteckt sind und nicht in Auflistungen auftauchen.

Der Rest ist eine Frage von Connectivity. Wenn der Rechner im Internet hängt ist er verwundbar gegen Angriffe aus dem Internet. Allerdings ist es allgemein so, dass die Sicherheit nach außen massiv bis undurchdringbar ist, gerade bei Hochsicherheitssystemen. Im Inneren wird aber allgemein eher geschlammt bis gar keine nennenswerte Sicherheit verwendet. Was das System verwundbar gegen Angriffe von innen macht, sei es durch Einbruch, Bestechung oder Überlistung.

Es gibt zB diverse Fälle, in denen das Personal Zugangsdaten über das Telefon an Dritte weitergegeben haben, weil sie dachten es wären Techniker. Mülltonnen durchsuchen ist auch oft sehr aufschlussreich.

[Gwynnedd]

im Zweifel kommt man an alle Daten dran, notfalls aus dem Inneren des Gebäudes aus dem Computer direkt.

Schau dir mal den Film "Sneakers" an ist imho sehr an der Realität dran, auch wenn schon etwas veraltet.

[Dr.Boomslang]

Die Hauptziele bei einem Angriff sind vorrangig an alle Daten oder zumindest beliebige Daten zu kommen, den Rechner komplett zu übernehmen oder auszuschalten, oder zumindest einen Dienst stark zu behindern.
Letzteres ist eigentlich verhältnismäßig einfach (DoS Attacke) und immer möglich wenn ein Rechner über ein Netzwerk irgend einen allgemein zugänglichen Dienst anbietet. Dazu müssen nicht zwangsläufig Bugs genutzt werden, das vereinfacht den Vorgang aber manchmal.
Auch das Auschalten oder Behindern von Diensten kann schon ziemlich effektiv sein, nicht nur wegen Erpressung.

Rechner fernzusteuern ist auch nicht das allerschwierigste was ein Hacker so machen kann. Die zwei Fragen sind immer: Wie kommt man rein und was für einen Einfluss gewinnt man dadurch?
Die erste ist eigentlich die schwierigste. Man muss hier entweder Fehlverhalten von Benutzern ausnutzen oder provozieren, und/oder Bugs des spezifischen Systems kennen.
Manche dieser Bugs sind allerdings so spezifisch, dass man den Rechner oder Personen die damit zu tun haben in irgend einer speziellen Weise beeinflussen muss etwas bestimmtes zu tun um dann wiederum nur ganz bestimmte Daten zu erhalten. Es wäre also großer Zufall wenn der Hacker grade diese Daten auch brauchen könnte.
Hat man ersteinmal Zugriff, kann man entweder Rechte eines bestimmten Benutzers (den man überlistet hat), oder gleich alle Rechte an sich reißen.

Letzteres ist bei den meisten Systemen noch immer durch einen Buffer-Overflow Angriff möglich, der aber bereist durch Hardwaremaßnahmen so gut wie unmöglich gemacht werden kann (Nx-Bit o.ä.), und auch sonst eher zur hohen Schule gehört.
Gelingt ein Buffer-Overflow kann man beliebigen Code auf dem Rechner ausführen. Jedes Programm das Daten entgegennimmt kann Prinzipiell dazu dienen einen Overflow zu provozieren, wenn es diese weit verbreiteten, allgemeine Schwäche enthält.

Was aber die Verfügbarkeit von Daten angeht so gibt es da auf der Welt große Unterschiede. In Deutschland sind z.B. meines Wissens nicht viele staatliche Daten über Netzwerke verfügbar, weil die auf irgendwelchen Einzelrechnern, auf Bänder, CDs, oder schlicht in Akten rumliegen.
In den USA ist das glaube ich schon anders, dort sind ja auch schon länger Anfragen per Funk vom Terminal im Polizeiwagen an eine Datenbank möglich und solche Scherze.
Es kommt also immer extrem darauf an welche Daten vorgehalten werden und auf welchem Wege alles vernetzt ist.

[Crazee]

Prinzipiell ist es ja wirklich so, dass überhaupt eine Verbindung ins Netzwerk (sei es Internet oder intern) gibt. Viele der wirklich interessanten Daten sollten nicht auf Rechnern liegen, die ans I-net angeschlossen sind. Aber es gibt genug Fälle...

Gerne genommen sind ja Key-Logger, die allerdings erstmal auf den Rechner kommen müssen. DoS und Buffer hatten wir schon.

Dann kommt es wirklich auf die Sicherheit an: Kann ich unendlich oft das Passwort "raten"? Habe ich benutzergesteuerte oder allgemeine Freigaben. Wie eng ist die Firewall...

[Wodisch]

Der Punkt ist aber, daß praktisch ALLE Daten auf Computern liegen, die am Internet hängen.
Das soll zwar nicht so sein, wird aus Faulheit/Unkenntnis/Unverständnis trotzdem gemacht (denkt mal an den großen Stromausfall in den USA - die Steuerungs-PCs hätten auch nicht am Internet sein dürfen, waren es aber; und sind es wohl immer noch).

Oder Am Funktelephonnetz (Stichwort: Blackberry).

Jeder Angriff "vor Ort" ist heute nur noch Filmtauglich, aber nicht mehr wirklich nötig.

Sogenannte "exploits" für neue Lücken (zero-day-exploits) kosten auf dem Weltmarkt zwischen ein paar hundert und ein paar tausend US Dollars, Botnets (durch Würmer, Viren oder andere Programme unter der Kontrolle der "Bösen" stehende PCs - in zehntausender Gruppierungen) für DDoS-Attacken kann man für ähnliche Preise fallweise mieten.

Zugangskontrollen zum Beispiel mit RFID-Chips lassen sich mit einem umgebauten Nokiahandy aus mehreren Metern Entfernung abhören und mitschneiden, um Fälschungen zu bauen.

Nach Sicherheitslücken in Firmennetzen sucht man heute auch schon bei "Google", warum sich anstrengen, wenn die das Ergebnis frei Haus liefern.

Sehr viele Firewalls arbeiten immer noch als "Portblocker", erst die neueren *verstehen* die übertragenen Pakete.

Hashes wie MD5 und SHA sind neuerdings nicht mehr halb so sicher, wie man das vor einigen Jahren noch annahm.
Man kann seit diesem Jahr schon 25% der Meldung beliebig verändern, ohne daß die Hashes sich ändern.

Aktuell bereiten die modernen Web 2.0 Techniken wie AJAX den Security-Experten erhebliche Sorgen.

Unsere Regierung plant gerade, die Werkzeuge zum Testen der eigenen Netze zu verbieten - Besitz und Einsatz wären dann strafbar (klar, daß sich die "Bösen" an dieses Gesetz halten werden - das machen Gangster ja immer).

Das Homelandsecurity Department gibt ein Vielfaches der für die Verschlüssung der Laptops nötigen Beträge aus, um Berichte schreiben zu lassen, daß eigentlich gar nichts passieren kann. Die Regierungsstellen haben seit dem 11.9.2001 allerdings schon tausende von Laptops mit "sensiblen" Daten verloren - praktisch alle ohne Verschlüsselung der Daten, also im Klartext!

Oder ganz ohne Fachchinesisch:
- man kann an alle Daten kommen
- der technische/materielle Aufwand ist geringer, als die meisten hoffen
- der zeitliche Aufwand ist durch Fortschritte im "Code-Breaking" gerade in den letzten Monaten drastisch gesunken
- die Möglichkeiten Angriffe und/oder verfälschte Nachrichten zu erkennen, sind erheblich schlechter geworden
- Suchdienste liefern die Kandidaten-Adressen für die Angriffe
- ein billig eingekaufter Taschendieb kann einfach Smartphone oder PDA einer Zielperson stehlen - das sind normalerweise alle Passwörter und Zugangsverfahren drauf. Oder man wartet einfach, bis so eine "Zielperson" das Dings einfach im Taxi oder Restaurant vergisst

Wer mehr wissen will, kann ja mal bei den Herren Schneier (USA, Twofish und Blowfish sind von ihm) oder Shamir (Israel, er ist das "S" in "RSA" und hat das oben erwähnte Nokiahandy umgebaut und die Anleitung ins Netz gestellt) nachlesen, das sind weltweit anerkannte Experten.

Edit:
Jetzt habe ich gerade die aktuelle Ausgabe der SANS NewsBites (Vol. 8 Num. 79) bekommen: das Bild sieht noch viel schlechter aus!

[Dr.Boomslang]

Hashes wie MD5 und SHA sind neuerdings nicht mehr halb so sicher, wie man das vor einigen Jahren noch annahm.
Man kann seit diesem Jahr schon 25% der Meldung beliebig verändern, ohne daß die Hashes sich ändern.

Was?! Das ist mir neu. Seit wann das denn? Es ist klar das es theoretisch möglich ist, weil der Datenraum natürlich viel größer ist als der der Hashwerte. Aber das riesen Problem beim Fälschen ist doch die gleichen Werte zu finden, und dann auch noch eine Änderung die gleichzeitig Sinn ergibt, und dann auch noch genau den Sinn den man will. "Beliebige Änderungen" kann ich mir daher nicht vorstellen.

[Wodisch]

Doch, lies mal beim Schneier nach, der hat davon schon vor ein paar Monaten berichtet.
Zur Zeit sind schon 25% des Textes "frei" änderbar - bei gleichem Hash, ca 50% werden als machbar eingeschätzt!

[Eulenspiegel]

Verweise auf den Schneier sind zwar nett, aber ich weiß weder wer oder was das ist, noch wo ich den Schneier kaufen könnte, um Details nachzulesen.

Ich würde mich freuen, wenn du ein paar grobe Angaben, wie das prinzipiell möglich ist, machen würdest.

Ich meine: Hash Werte sind im Prinzip doch (gewichtete) Quersummen des Textes.
Verändere ich ein Byte, verändere ich damit auch die Quersumme.
Wie kann ich also den Text verändern, ohne die Quersumme zu verändern?

Du musst jetzt nicht den ganzen Schneier quoten. Aber wenn du vielleicht in 2-3 Sätzen zusammen fassen würdest, was seine Idee ist, würde mich das freuen.

[Dr.Boomslang]

Verändere ich ein Byte, verändere ich damit auch die Quersumme.
Wie kann ich also den Text verändern, ohne die Quersumme zu verändern?

Warst du nicht Mathematiker oder sowas?
Hashfunktionen bilden (in der Praxis) einen unendlichen Datenraum auf endlich viele Hashwerte ab (wie eine Quersumme mit konstanter Stellenanzahl auch), die Funktion ist dann also zwangsläufig nicht injektiv. Hashes werden zur Authentifizierung dieser Datensätze verwendet. Findet man zwei Datensätze die den gleichen Hashwert ergeben kann dadurch eine Authentifizierung gefälscht werden.

Schneier ist ein Kryptografie-Guru. Der aktuellste Artikel zum Thema ist glaube ich dieser hier.
Die Sache mit dem "beliebigen Abändern" habe ich da aber nicht gefunden und kann das auch noch nicht so recht glauben.

Und ich bemerke wir entfernen uns vom Thema. Vielleicht sollten wir nach Science without Fiction verschieben, denn das ist doch recht interessant...

[Ein]

Naja, so arg neu ist die Erkenntnis nicht, dass sich Inhalte ändern lassen, ohne dass sich der Hashwert ändert. Der Punkt ist hier eher die sinnvolle Veränderung.

[Wodisch]

So auf die Schnelle finde ich erstmal das hier.
Und falls Du an solchen Themen interessiert bist, rate ich Dir, den monatlichen Newsletter von Bruce Schneier zu abonnieren (oder in seinem Blog zu lesen).

Aber wenn Bruce Schneier und die Herren Shamir, Rivest und Adleman Dir nichts sagen, dann hast Du Dich mit dem Thema wahrscheinlich noch gar nicht beschäftigt. Ohne ein bißchen Mathematik wird es dann schwierig, fürchte ich...

[Crazee]

Naja, um es ganz einfach auszudrücken: Wenn ich einen Buchstaben ändere muss ich halt an mindestens einer anderen Stelle etwas anderes so ändern, dass es wieder passt. Wie genau ist wahrschinlich nur eine Frage der Rechnerleistung.