Eine kurze Geschichte des Penetrationstesting – Mit Streichen fing alles an
Berühmte Penetrationstester, Highlights aus der Historie, Best Practices
Anfangs waren es Jugendliche, die aus Spaß Telefonsysteme überlisteten. Es folgten die ersten Cyberangriffe auf IT-Netze des Pentagons und ARPANET, einem Vorläufer des Internets. Einige der Hacker wandelten sich vom Saulus zum Paulus und wurden Penetrationstester. Im letzten Teil dieser fünfteiligen Serie lesen Sie eine kurze Geschichte, wie aus Black-Hat-Hackern nach teils langjährigen Gefängnisstrafen die besten Penetrationstester wurden.
Ende der sechziger Jahre fand John T. Draper heraus, dass eine Spielzeugpfeife aus einer Packung Frühstücksflocken der Marke Cap'n Crunch einen Ton mit exakt 2.600 Hertz erzeugte. Der Ingenieur wusste aus seinem Tech-Netzwerk, dass die Telefongesellschaft AT&T diese Frequenz nutzte, um Ferngespräche freizuschalten. Er baute ein kleines Gerät, das er "Blue Box" taufte und weitere Ton-Codes zur Manipulation der Telefonabrechnung erzeugte und so das kostenlose Telefonieren ermöglichte. Der später "Captain Crunch" genannte Hacker taufte seine Methode "phreaking", ein Kofferwort aus Phone und Freak. Damit begründete er eine bis heute gepflegte Tradition, Hacking-Methoden mit sprachlichen Neuschöpfungen aus zusammengesetzten Wörtern zu bezeichnen. Phishing etwa ist angeblich die Kopplung aus "password" und "fishing", womit die Methode als Angeln von Passwörtern gut umschrieben ist. Und weil Draper seine technische Leistung nicht für sich behalten konnte, kamen auch die ersten kriminellen Hacker auf den Geschmack. Das freie Plaudern quer über die Welt wurde zudem ein großer Spaß von Hippies. Die Telefongesellschaften verzeichneten einen enormen Schaden. AT&T und das Federal Bureau of Investigation (FBI) fahndeten nach Draper. Er wurde gefasst, zu vier Jahren auf Bewährung verurteilt, verstieß aber gegen seine Auflagen und saß ab Oktober 1976 vier Monate ein. Selbst in der Haft lehrte er seine Mithäftlinge das Phreaking. Zugleich versuchte er sein Talent legal zu nutzen und entwickelte noch in der Haft für die Apple-Gründer Steve Jobs und Steve Wozniak die erste Textverarbeitung. Danach gelang ihm weder eine Karriere im Silicon Valley noch setzte er seinen kriminellen Weg fort. Heute entwickelt er angeblich IT-Sicherheitssysteme, errang aber nie den Ruf in der Szene, den sich zwei seiner Nachfolger erarbeiteten.
Vom Saulus zum Paulus oder vom Black-Hat zum IT-Security-Experten
Überhaupt war die frühe Hackerszene in den USA mehr technik- und spaßgetrieben als kriminell, auch wenn sie sich um Straftatbestände nicht weiter scherte. Der Kalifornier Kevin Poulsen fing 1977 als gerade einmal 13-jähriger Schüler mit Phreaking an und experimentierte spielerisch mit der Manipulation von Telefonzentralen. Er pfiff Steuerungstöne ins Telefon, um die Servicefunktionen unter anderem bei Radiosendern zu "hacken". Damit gelang es ihm mehrfach, den Telefoncomputer des Radiosenders KISS FM so zu manipulieren, dass er unter anderem zwei Porsche gewann.
Zum Verhängnis wurde ihm allerdings, dass er auch das FBI ausspionierte, um verdeckt agierende Unternehmen des FBI zu enttarnen. Dafür wurde er 1992 verurteilt und saß fünf Jahre in Haft. Seither stellt er seine Kompetenz aber in den Dienst der IT- und Kommunikationssicherheit. Er schrieb unter anderen als Journalist über Cyberkriminalität sowie über Whistleblower und die Affären um Edward Snowden und Wikileaks. Um seine Informanten besser schützen zu können, entwickelte er 2013 zusammen mit Aaron Swartz SecureDrop, die bei zahlreichen Zeitungen in den USA und Europa für die geschützte Kommunikation mit Whistleblowern auch heute zum Einsatz kommt. SecureDrop ist eine Anwendung mit der Tor-Netzwerk-Technologie, die bisher nur schwer zu hacken ist. Ein gutes Beispiel dafür, dass erfolgreiche Hacker oft auch Erfinder sind – von Lösungen für den Eigenbedarf auf unkonventionellem Wege. Eine Eigenschaft, die ihnen als White-Hats im Dienst von Kunden in der Regel sehr zupass kommt, um besser zu sein als ihre kriminellen Gegenspieler. Heute betreibt Kevin Poulsen für das US-amerikanische IT-Magazin Wired auch einen Security-Blog.
Eine ähnliche Entwicklung vom Black-Hat-Hacker als Phonefreaker zum White-Hat-Hacker nahm auch Kevin Mitnick, der als 16-Jähriger das Passwort seines Computer-Lehrers mit einem der ersten Phishing-Programme ausspionierte.
Auch er manipulierte schon als Schüler die Telefoncomputer von Pacific Bell, um kostenlos mit seinen Freunden zu telefonieren. Unter seinem Pseudonym "Condor" soll er mehr als 100 Mal in die Netzwerke des US-Verteidigungsministeriums, der National Security Agency (NSA) und der NASA eingedrungen sein. Er stand einige Jahre auf der "Most Wanted List" des FBI, bis er 1995 verurteilt wurde. Er saß fünf Jahre in Haft und durfte nicht einmal telefonieren. Der Staatsanwalt begründete dies damit, dass Mitnick allein durch sein Pfeifen in eine Telefonmuschel einen Nuklearkrieg auslösen könne. Seit seiner Entlassung im Jahr 2000 engagiert sich Mitnick als Key Note Speaker internationaler IT-Security-Konferenzen, Journalist und IT-Security-Berater. In seinem Buch "Die Kunst der Fälschung" beschrieb er als einer der ersten Autoren, wie Social Engineering funktioniert und wie Hacker immer besser darin werden, Mitarbeiter in Unternehmen zu ihren Gunsten per E-Mail, per Telefon oder auch persönlich zu beeinflussen, zu täuschen oder zu manipulieren. Mit seiner Beratungsfirma gehört er heute zu den gefragtesten Penetrationstestern. Er klärt seine Kunden vor allem über Social Engineering auf, gibt Seminare und Schulungen, um sein Wissen weiterzuvermitteln. Darüber hinaus steht sein White-Hat-Team in dem Ruf, den Black-Hat-Hackern immer einen Schritt voraus zu sein.
Ethische Hacker brauchen heute keine kriminellen Umwege
Die überwiegende Mehrheit der heutigen Penetrationstester allerdings nimmt den Weg über Universitäten, sie investiert in ihre Ausbildung sowie viel Zeit in das Studium der Foren, in der sich die Black-Hat-Fraktionen austauschen. Einige wie Bruce Schneier gehören heute zu den bekanntesten der IT-Security-Szene. Das Magazin The Economist bezeichnete den Informatiker bereits 2013 als "Sicherheitsguru". Schneier arbeitete schon als Student als Computer-Sicherheitsberater für das Pentagon und die Bell Laboratories. Sein Titel "Security Futurologist" bei British Telecom ist auch sein Programm. Der Amerikaner gehört häufig zu den ersten, der vor strukturell neuen Sicherheitslücken warnt.
Schneiers Botschaft ist: Alle Computer sind hackbar.
In seinem Buch "Click Here to Kill Everyone: Sicherheitsrisiko Internet und die Verantwortung von Unternehmen und Regierungen" [1] beschreibt er unter anderem, wie Hacker 2018 mit einer DDoS-Attacke vorübergehend sowohl Twitter und Netflix als auch zahlreiche weitere Webseiten in die Knie zwangen, sodass diese vom Netz gingen. DDoS steht für "Distributed Denial of Services" und ist die Verbindung von mit dem Internet verbundenen Computern, DVD-Playern, Webcams, Router sowie sonstigen IoT-Geräten, die für eine Cybercrime-Attacke so zusammenschlossen sind, dass sie durch hochfrequente und gleichzeitige Anfragen an Server diese zur Überlastung bringen, damit diese ihre eigentlichen Aufgaben nicht mehr ausführen können. Die ahnungslosen Besitzer dürften wohl kaum gemerkt haben, dass ihre unter anderem im Wohnzimmer befindlichen Geräte gekapert waren und an einer Kettenreaktion teilnahmen.
Schneiers Botschaft ist: Alle Computer sind hackbar. Sein Rat lautet deshalb auch, bereits bei der Entwicklung von Hard- und Software sowie der Konzeption von IT-Infrastruktur, ein intelligentes System-Design zu entwerfen. Alle Bestandteile sollten mit dem Wissen entwickelt und vernetzt werden, dass es irgendwann Angreifer geben wird, die sie hacken können. Wenn Fehler und Schadensszenarien auf diese Art bereits im Design berücksichtigt werden, spricht man auch von "fail well". Beispielsweise dürfen oder sollen Verschlüsselungen nicht darauf basieren, dass Bestandteile des kryptographischen Systems geheim gehalten werden. Open Source stellt hier sicher, dass eine hochqualifizierte Community die Algorithmen immer wieder besser überprüft, als es jedes Testlabor könnte.
Wer zukunftssicher plant, setzt zusätzlich auf quantenresistente Verschlüsselungsalgorithmen und berücksichtigt auch hier das Motto "fail well" für seine Sicherheitsarchitektur. Genauso wichtig ist es, nicht alle Informationen und Funktionen mit nur einem Passwort zugänglich zu machen. Damit lassen sich Single-Points-of-Failure vermeiden, bei denen nach einem Hackerangriff gleich das Gesamtsystem kompromittiert ist. Und im Internet der Dinge werden immer mehr Gegenstände zum Computer, arbeiten mit Hard- und Software, deren Programm-Codes kompromittierbar sind: Ob Kühlschränke, Produktionsmaschinen, Mobiltelefone oder Autos – kein System ist sicher, wie zahlreiche Forschungsprojekte zeigen. Hier fordert Schneier ein Umdenken: Nicht nur die neue Funktionalität darf ein Treiber für eine Weiterentwicklung sein, sondern ethische Fragen nach technischer, gesellschaftlicher und persönlicher Sicherheit müssen ebenso eine Rolle spielen.
Bug-Bounty-Programme und Hochschulen treiben IT-Sicherheitsforschung
Die aktuellen System-Hacks bestätigen Schneiers Analyse. Anbieter hochkomplexer IT-Systeme rechnen in der Regel auch mit unbekannten Schwachstellen im System und hoffen, diese möglichst früh und mit überschaubarem Budget zu erkennen. Dabei setzen sie sowohl auf die Integrität eines Großteils der Hacker-Community als auch auf Kapazitäten von Wissenschaft und Forschung.
So gelang es der Ben-Gurion-Universität im Sommer 2020, aktuelle Fahrerassistenzsysteme von Tesla zu manipulieren. Sie kaperten Werbetafeln am Straßenrand und spielten entlangfahrenden Tesla-Fahrzeugen für nur 0,42 Sekunden ein Stoppschild vor. Diese stoppten aus voller Fahrt mit einer Vollbremsung. Wurden die Werbetafeln vermutlich mit klassischen Methoden gehackt, wurden die Kamera und die KI-basierten Auswertungssysteme des Fahrzeugs über neue Kanäle manipuliert. Man könnte es auch als einen der ersten erfolgreichen "Social Engineering"-Angriffe auf eine KI bezeichnen. Im Oktober 2020 wurde bekannt, dass "Forscher" auf den Webseiten von Apple in nur drei Monaten 55 zum Teil schwerwiegende Fehler gefunden hatten [2]. Einer der schlimmsten hätte es Cyberkriminellen ermöglicht, einen Wurm einzuschleusen, der automatisch alle Fotos, Videos und Dokumente aus dem iCloud-Konto einer Person mitsamt den Kontaktdaten hätte stehlen können. Die nicht beauftragten "Forscher" meldeten die Fehler an Apple und erhielten dafür insgesamt fast 289.000 Dollar. Genutzt hatten sie dafür ein sogenanntes "Bug-Bounty-Programm" von Apple. Mit solchen Programmen laden Unternehmen Hacker ein, ihre Systeme zu penetrieren, Sicherheitslücken zu identifizieren und zu melden. Ebenfalls im Oktober meldete die New York Times, dass es staatlichen Hackern aus dem Iran gelungen sei, mit einer Phishing-Attacke die Verschlüsselung von WhatsApp und Telegram zu umgehen, um Oppositionelle auszuspionieren [3]. Bei solchen Angriffen ist es eben die Schwachstelle Mensch, die Gaunern gegenüber ihr Passwort preisgibt, während alle technischen Maßnahmen und die Verschlüsselung unangetastet und intakt bleiben. Hier hätte vermutlich eine Zwei-Faktor-Authentifizierung das Schlimmste verhindert.
Penetrationstests müssen integraler Teil der IT-Sicherheit werden
Diese drei aktuellen Fälle zeigen, dass Schneiers These, dass alle IT-Systeme gehackt werden können, kaum zu widerlegen ist. Denn in jeder Zeile Programm-Code kann sowohl ein Hacker, aber eben auch ein guter Penetrationstester eine Lücke finden. In jeder Hinsicht kommt es auf den Faktor Mensch an: Einerseits, weil er durch Manipulier- und Verführbarkeit selbst bei den besten Systemen die größte Schwachstelle ist, andererseits, weil es eben der Experte Mensch ist, der Sicherheitslücken aufspüren kann.
Alle Unternehmen sollten daher ihre IT-Sicherheitsstrategie regelmäßig überprüfen und zur Härtung ihrer Systeme nicht nur auf bekannte Schwachstellen-Scanner setzen. Allein regelmäßige und in kurzen Abständen durchgeführte Penetrationstests aber auch der Wechsel des Pentester-Teams – andere Menschen finden andere Fehler – bieten die Chance, neue Schwachstellen ein paar Sekunden vor den Black-Hat-Hackern zu finden. Sie müssen deshalb integraler Bestandteil jeder IT-Sicherheitsstrategie werden.