Wenn ein Ex-Hacker Mitarbeitern von europäischen Strafverfolgungsbehörden zeigt, wie die Bösen im Internet arbeiten, bleibt die Öffentlichkeit außen vor. Nur Linux-Magazin-Redakteur Markus Feilner war dabei.

Ende November 2008, Regen. Die A5 ist voll wie jeden Montag. Freiburg soll die Stadt mit den meisten Sonnenstunden in Deutschland sein, aber heute gießt es wie aus Kübeln. Im Schulungsraum sitzen Tobi, Ex-Hacker, jetzt Forensik-Experte und Trainer sowie etwa 20 Mitarbeiter diverser europäischer Strafverfolgungsbehörden. Auf dem Programm für die nächsten drei Tage stehen Rootkits, CSS-Skripting-Angriffe, die Übernahme von Windows-Rechnern per Browser, das Finden und Ausnutzen bekannter Exploits. Außerdem, wie Angreifer professionelle Software benutzen, um Botnetze, Trojaner und Viren automatisiert zu bauen, zu verteilen und zu verwalten.

An so einer Veranstaltung (Abbildung 1) teilzunehmen ist nur mehr Strafverfolgern vergönnt, seit der Hackerparagraph § 202 c StGB derartige Trainings für Normalsterbliche verbietet. Wie Deutschland trotz derartiger Gesetze sein IT-Security-Know-how wahren soll, fragt sich derzeit eine ganze Branche. Auch einige der Kursteilnehmer lästern in den Pausen über den Gesetzgeber. Es fallen Begriffe wie “Stumpfe Waffen”, “Einfach lächerlich”, “Völlig praxisfremd” oder “Wettbewerbsnachteil”. Angeblich häufen sich neuerdings mehr und mehr Fälle, wo Security-Firmen ihre Mitbewerber bei Ausschreibungen wegen des Besitzes von Hackersoftware anschwärzen und so per Ellenbogentaktik aus dem Rennen stoßen möchten.

Professionell

Die kriminelle Szene dagegen kümmert sich ohnehin nicht um Paragraphen, sie ist gut organisiert, ihre Software durchaus einsteigertauglich und die Hemmschwelle scheint zu sinken. Ein Beamter stöhnt: “Mittlerweile beherrschen das auch Mausschubser und Scriptkiddies erschreckend schnell.” Die finden sich aber in diesem Kurs (Abbildung 2) sicher nicht, die Ermittler schlagen längst mit mindestens dem gleichem Know-how zurück, das auch die Internetgangster an den Tag legen.

Abbildung 2: Zum Profi-Hacker in drei Tagen. Die Agenda ist voll, die Ermittler lernen, wie Angreifer Rootkits und Botnetze bauen.

Kein Wunder, dass die Agenda üppig ist, die sich die Profis für die drei Tage vorgenommen haben. Dem Reporter fliegen gleich die Namen einschlägiger Software wie Metasploit, Mpack oder Dreamdownloader um die Ohren.

Tobi, Ex-Hacker, Trainer und Security-Experte in Personalunion freut sich sichtlich über den Besuch vom Linux-Magazin. Die Chemie stimmt, nur wenige Minuten liegen zwischen der Begrüßung und der Diskussion über die Vorteile von Nvidias G-Force-Grafikkarten. Allerdings dreht sich das Gespräch nicht um die neusten Games, sondern um die Tatsache, dass sich die leistungsfähigen Grafikchips besonders gut zum Passwortcracken einspannen lassen.

Russische Software für Nvidias Grafikkarten

Die russische Firma Elcomsoft Ltd. [1] hat daraus sogar ein einträgliches Geschäft gemacht, das Produkt nennen sie Distributed Passwort Recovery. Ein Euphemismus? Russland ist auf jeden Fall ein interessanter Markt, zumindest was das Softwareangebot für Hacker angeht. Firmen aus dem Osten Europas, vor allem aus den Nachfolgestaaten der Sowjetunion sind in der Regel ganz vorne zu finden, auch bei der Software, die Tobi (Abbildung 3) in diesem Kurs vorstellt.

Der Kontakt zu den Strafverfolgern hat sich für ihn vor wenigen Jahren “eher unfreiwillig ergeben”. Im Umfeld der Phatbot-Angriffswellen war er wohl mindestens “zur falschen Zeit am falschen Ort”, sprich auf dem falschen Server. Zudem kam er ins Visier einer Sonderkommission der Kripo, weil er dann noch Kontakte zu den Urhebern von Malware unterhielt: “Einige von den Jungs haben sich echt blöd angestellt, haben im Web geprahlt! Klar haben sie die geschnappt.” Schaden hat er nicht angerichtet, aber man merkt ihm doch manchmal an, dass die Zeit auf der Flucht Spuren hinterlassen hat (Abbildung 4).

Abbildung 3: Vorne Tobi, im Hintergrund sein Zweitvater, der Forensiker Hans-Peter M., der ihn in der Nähe eines PCs keine Sekunde aus den Augen lässt.

Abbildung 4: Ehemals selbst Gejagter, hilft er jetzt mit seinem Know-How der anderen Seite, Schaden zu verhindern. Die Kapuze ist eine Frage des Stils.

Zugriff!

Abends beim Essen stoßen Polizisten und der Ex-Hacker miteinander an, fachsimpeln über Handy-Exploits und Java-Schwachstellen. Auf dem Weg ins Hotel lästern die Beamten darüber, dass der Kurs schon um 8 Uhr morgens anfängt, und ob Tobi da überhaupt schon wach ist. Seine bierernste Antwort: “Alles kein Problem, kratzt nur ganz leise an meiner Zimmertür und flüstert “Zugriff”. Da bin ich sofort wach. Das klappt immer.”

Sein Hackername ist Newroot, die E-Mailadresse schreibt er gerne im astreinen Graffiti-Stil (Abbildung 5). Heute arbeitet er bei einem der führenden Pentester und Security-Dienstleister Deutschlands. Dort darf er die Software moderner Flugmaschinen hacken, die Firmware von VoIP-Telefonen austricksen oder auch internationale Forensikexperten auf den neuesten Stand der Software bringen.

Abbildung 5: Tobis E-Mail-Adresse in seiner eigenen Notation.

Schnell ist klar, welchen Erfahrungsschatz er hat, und gute Tipps für den Admin hat er immer parat. “Es gibt so einfache Sachen, die es jedem Angreifer schwer machen, aber die meisten Admins denken da gar nicht daran. Einfach die richtigen Partitionen mit Non-SUID und Non-Exec mounten, schon stehst du als Hacker auf dem Schlauch. Oder setz einfach das Append-only-Attribut auf Logfiles oder die Bash-History. Da tut sich jeder schwer, die Spuren zu verwischen, vor allem, wenn Cron das regelmäßig auf nen anderen Rechner sichert.”

Meist dauert es nicht lange, und er listet reihenweise Websites in der rechtlichen Grauzone auf, wie Invisible Things [2] Metasano [3], den Fake Name Generator [4] oder gar Exploitlisten wie Milw0rm. Sites wie diese verwendet er regelmäßig in seinem Kurs, um Rootkits zu basteln oder mal schnell den neuesten Internet-Explorer-Bug zu demonstrieren.

Backdoors, CSS, Exploits

Wenn ein Angreifer im lokalen Netz mit Metasploit und Backtrack innerhalb von zwei bis drei Minuten einen Windows-Rechner übernimmt und eine vollständige Root-Shell auf dem MS-Server erhält, dann macht das auch hartgesottene Microsoft-Fans sprachlos.

Backdoors, gerade für Windows, gäbe es genug, und der Angreifer brauche eigentlich nur die richtigen Webseiten zu kennen, schon kann er laut Tobi loslegen. Manchmal brauche es vielleicht noch die richtigen Perl- oder Ruby-Module für Metasploit, aber in der Regel stellten die Redmonder Systeme keine großen Probleme dar.

Am zweiten Tag gehts mitten rein ins Cross-Site-Scripting. Von Badstore [5] gibts als Iso-Image Lern-Software, die speziell auf Admins und Programmierer von Webseiten zugeschnitten ist. Die unter der GNU lizensierte Live-CD startet einen lokalen Webserver mit zahlreichen LAMP-Anwendungen wie Gästebüchern und Webshops. Allerdings enthält Badstore auch all die typischen Scheunentore, die unkundige Admins oder Programmierer auf den meisten Webseiten offen lassen.

OWASP und Beef

Für die Clientseite, also die Bugs und Buffer-Overflows im Browser gibt es Beef, das Browser Exploitation Framework. Tobi legt los: “Ok, das beides nehmen wir mal als Basis. Jetzt gehen wir zu OWASP [6], und schauen uns mal die Top Ten [7] der Web Application Security Vulnerabilities an. Platz eins bis drei sind echt trivial, die bauen wir jetzt alle nach.”

Er erklärt die Unterschiede zwischen Stored, Reflected oder Dom-basiertem Cross-Site-Scripting [8] und zeigt, welcher Angriff sich für welches Szenario besser eignet, wie sich über Javascript ein Skript von einer dritten Webseite einbinden lässt, und wie Angreifer es im Gästebuch einer fremden, ungeschützten Webseite hinterlegen. Mit Löchern wie dem Iframe Tag Buffer Overflow Exploit des Internet Explorers ist es dann nur ein kleiner Schritt, bis die Angreifer vollen Zugriff auf den Windows-Client haben. Kein Wunder, wenn der volle HTML-Code im Internet zu finden ist.

Die Ermittler nehmen das erstaunlich gelassen hin. Allen ist klar, wie einfach es Hacker haben. “Ach was, das was wir hier sehen, ist ja nur die Spitze des Eisberges”, wiegelt ein Beamter ab. “Das Anzeigeverhalten der Geschädigten ist so extrem schlecht, keiner will zugeben, wenn er in eine Falle getappt ist oder ein Angreifer das vermeintlich sichere Unternehmensnetz kompromitiert hat. Von den meisten erfolgreichen Angriffen kriegt niemand was mit, das ist den Benutzern und Admins immer noch peinlich.” Seine Kollegen aus dem Schweizer Team (Abbildung 6) geben sich kämpferisch: “Vollkommen richtig. Aber jeder Mensch macht Fehler. Jeder Angreifer, egal wie geschickt er auch ist, hinterlässt immer Spuren. Und dann kommen wir ins Spiel.”

Abbildung 6: „Jeder hinterlässt Spuren, keiner ist perfekt“. Schweizer Ermittler auf Forensik-Fortbildung in Deutschland.

Werkzeuge für Windows

Die größte Schwierigkeit für den Angreifer besteht offensichtlich darin, dass er an der schnell geöffneten Windows-Root-Shell wenig Werkzeuge zur Verfügung hat. Der Javascript-Exploit aus Tobis Beispiel hat zwar Port 28876 geöffnet, auf die sich der Angreifer per Mausklick über den Raw-Mode von Putty verbindet.

Eine Shell mit Administratorrechten mag schlimm genug und für viele Zwecke ausreichend sein, aber Tobis Kurs geht noch weiter. Der Angreifer hat zunächst keine Möglichkeit, Daten oder Programme aus dem Web herunterzuladen. Aber auch dafür gibt es professionelle Lösungen wie Mpack oder den Dreamdownloader. “Das Umleiten des Browsers auf die eigene Seite funktioniert über das Iframe-Tag wunderbar transparent im Hintergrund, der Windows-User kriegt gar nichts davon mit. Auch unsere nette kleine Malware startet völlig automatisch. Vielleicht ruckelt der Mauszeiger mal kurz, aber mehr merkt der Surfer nicht davon. Schon ist der Port offen und wir können weitere Programme installieren.”

Verboten!

Auch das Automatisieren ist leicht: Ein wenig Klickibunti mit Remote-Administrationstools wie Poison Ivy [9], dann den neu gebauten Trojaner mit dem Dreamdownloader verpacken und mit Mpack auf Windowssysteme einschleusbar machen, fertig ist das Botnetz.

Trotzdem: Auch wenn über vermeintliche Hackertools wie Metasploit ganze Bücher existieren, und das Internet voll mit Software und Anleitungen ist, der deutsche Gesetzgeber verbietet Computerspezialiten, sich mit derartigen Bedrohungen auseinanderzusetzen. Administratoren sind im Kampf gegen Scriptkiddies, die ohne großes Know-How per Mausklick Rechner erobern, die Hände gebunden. Schon wer sich damit beschäftigt, um sich oder seine Firma zu schützen, steht mit einem Bein im Knast. “Zu jedem Führerschein gehört ein Erste-Hilfe-Kurs, der ADAC bietet Schleudertrainings an. Aber Admins am IT-Standort Deutschland ist es verboten, sich wirksam zu schützen”, klagen auch die Fahnder.

Das Training ist fast vorbei, draußen regnet es immer noch. Sobald die selbst gebaute Webseite steht, tröpfeln auch die kompromittierten Windows-Systeme in den neuen Rechnerverbund und melden sich brav im Management-Interface der Windows-Software an. Es wird langsam dunkel in Freiburg, der Regen stärker. “Von der Sonne verwöhnt” – wers glaubt. Warum hat eigentlich keiner das Wetter gehackt? Oder wird Regen bald auch einfach verboten?