Aktive Verteidigung von IT-Systemen – so funktioniert der Hackback…

Dieser Beitrag wurde unter Allgemein, News abgelegt am von .


Aktive Verteidigung von IT-Systemen - so funktioniert der Hackback…

Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Was ist ein digitaler Gegenangriff und welche Aktivitäten fallen darunter? Diese Fragen stellte sich der Think Tank Stiftung Neue Verantwortung (SNV), die sich auf Technologie- und Gesellschaftsthemen spezialisiert hat und über IT-Sicherheit, Datenökonomie oder digitale Grundrechte diskutiert. Im Fall einer digitalen Attacke identifiziert SNV vier digitale Aktionsphasen – unabhängig davon, ob es dafür bereits eine rechtliche Grundlage gibt oder nicht.

Passive Verteidigung
Der wesentliche Fokus liegt auf der Abwehr und dem Aufspüren von Cyber-Angriffen

  • Schutz der eigenen Systeme durch Firewalls und Antivirus-Programme
  • Aufspüren von Angriffen etwa durch Intrusion-Detection-Systeme und Canary Tokens
  • Passives Sammeln von Informationen zur Reaktion und Aufklärung etwa in Honeypots, die Ziele von Cyberangriffen imitieren – etwa durch unzureichend gesicherte Server. Ein Honeypot ist eine Falle, die die Angreifer anlocken und in die Irre führen soll. Damit das funktioniert, muss er Applikationen und Daten enthalten, die ihn aussehen lassen, wie ein echtes System – attraktiv genug, um potenzielle Angreifer dazu zu verleiten, es zu hacken. Klassischerweise wird zwischen server- und clientseitigen Honeypots unterschieden. Ein clientseitiger Honeypot fingiert eine Anwendung, die Serverdienste beansprucht. Zum Beispiel ein Browser, der gezielt unsichere Websites besucht. Angriffe auf den als Browser getarnten Honeypot werden protokolliert. Auf Basis so gewonnener Daten kann die simulierte Software – in diesem Fall ein Browser – verbessert werden.

Aktive Verteidigung
Der wesentliche Fokus dient der Reaktion auf und der Aufklärung von Cyber-Angriffen

  • Unterstützung durch Internet Service Provider zur Abwehr von Cyber-Angriffen
    wie beispielsweise Blocken und Umleiten von Dos- und DDoS-Angriffen. Denial of Service bezeichnet die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte. Häufigster Grund ist die Überlastung des Datennetzes durch extrem viele Anfragen/E-Mails. Das kann unbeabsichtigt verursacht werden oder durch einen konzentrierten Angriff auf die Server oder sonstige Komponenten des Datennetzes erfolgen. Bei einer Distributed-Denial-of-Service attack, deutsch für verteilter Dienstverweigerungs-Angriff, erfolgen die Anfragen von einer großen Zahl an Rechnern aus.
  • Aktives Sammeln von Informationen zur Aufklärung wie beispielsweise durch Bluetooth-Beacons (deutsch: Leuchtfeuer), die etwa nach einem Diebstahl ihre aktuelle Position melden oder dem Abfischen von Informationen (durch Nachrichtendienste) an Internet Exchange Points die Netzknoten im Internets dienen als Austauschpunkte für den Datenverkehr und verbinden mehrere Internetdienstanbieter so, dass sie den Datenverkehr zwischen ihren jeweiligen Netzen austauschen können.

Übernahme der externen Angreifer-Infrastruktur
Reaktion und Aufklärung von Cyber-Angriffen, sowie Maßnahmen gegen den oder die Angreifer

  • Unterstützung durch Internet Service Provider bei der Unterbindung der Kommunikation zwischen der Command-and-Control Infrastruktur und infizierten Systemen (Bots)
  • Unterstützung durch Hosting Betreiber und Internet Service Betreiber bei (international) koordinierten Botnet-Takedowns wie zum Beispiel Sinkholing, forensischer Analyse inklusive Snapshots oder Data Recovery
  • Unterstützung durch Hosting Betreiber bei der Unterbindung der Datenextraktion
    wie der Anordnung zum Löschen von Daten
  • Unterstützung durch Internet Service Provider und Hosting Betreiber zur Desinfektion infizierter Systeme (Bots) durch das Einspielen von Sicherheitssoftware mithilfe der Command-and-Control Infrastruktur
  • Direkter Zugriff auf die Systeme um Logdaten/Opferlisten und verwendete Tools zu betrachten durch das Hacken von Command-und-Control Systemen

Infiltration der internen Angreifer-Infrastruktur
Erfolgt hauptsächlich zur Aufklärung von Cyber-Angriffen sowie als repressive Maßnahmen gegen den Angreifer

  • Erhöhung der Qualität der Zuordnung etwa durch Aufklärung in Systemen der Angreifer, inklusive Nutzung von Sensoren wie Webcams
  • Unterbindung der Datennutzung mithilfe von Datenfallen, gezieltem Löschen oder dem Verschlüsseln von Daten
  • (Temporäre) Störung der Angreifer-Systeme zum Beispiel durch das Überschreiben der BIOS-Firmware oder eigene DDoS-Angriffe