Aus Linux-Magazin 04/2019

Ein wahrer Krimi sowie KI-Tools für Sicherheitsexperten

Eine spannende Jagd auf einen Hacker oder die Tarnung gestohlener Daten – das waren Themen auf der 26. DFN-Konferenz “Sicherheit in vernetzten Systemen” Anfang Februar in Hamburg.

Wie IT-Experten des Bundeskriminalamts den Hacker jagten und dingfest machen konnten, der Ende November 2016 1,25 Millionen DSL-Router der Telekom außer Gefecht setzte, das schilderte Mirko Manske, ein leitender Beamter des BKA, den Teilnehmern der 26. DFN-Konferenz “Sicherheit in vernetzten Systemen”. Seine Keynote zählte zu den Highlights der Konferenz

Dabei war die Sabotage der Router gar nicht das Ziel des Kriminellen, er wollte die Geräte stattdessen mit einer Malware infizieren, die eine Schwachstelle im TR069-Protokoll ausnutzte, das über den Port 7547 Fernzugriffe von Wartungspersonal ermöglicht. Nur hatte die Telekom aus Sicherheitsgründen die angreifbare und viele weitere Funktionen bereits aus ihrer Implementierung des Protokolls entfernt. Folglich funktionierte die Infektion nicht mehr, hatte aber nun ungeplant die Wirkung eines DDoS-Angriffs, der die Geräte abstürzen ließ.

Anhand von Indizien wie Nicknames im Quellcode der Malware gelang es der Polizei schließlich, die Identität ihres Autors zu ermitteln, was der Referent spannend zu schildern verstand. Dem in Großbritannien lebenden und teils aus Zypern agierenden Täter schienen die Behörden aber zunächst nur versuchte Datenveränderung vorwerfen zu können, was für einen internationalen Haftbefehl nicht gereicht hätte. Deshalb gingen sie daran, erfolgreiche Infektionen in Deutschland zu suchen.

Doch trotz umfangreicher und aufwändiger Überwachung des Backbone-Verkehrs der Telekom und anderer spektakulärer Maßnahmen und trotz weitreichender internationaler Kooperation mit Unternehmen und Behörden, unter anderem in den USA, wo der Täter Domains registriert hatte, kam nur eine Handvoll tatsächlich übernommener Router in Deutschland zum Vorschein.

Deswegen beriefen sich die Ankläger schließlich auf eine Klausel in Paragraf 303b des Strafgesetzbuchs (Computersabotage), die eine besondere Schwere der Straftat dann attestiert, wenn “durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen” gefährdet wird. Das Gericht erkannte das Internet als solche Dienstleistung an, die für Millionen Telekom-Kunden gestört worden war.

Daraufhin wurde der Täter in England festgenommen und ausgeliefert. Hierzulande verurteilten die Richter den Briten, der bis dahin bereits fünf Monate in Untersuchungshaft gesessen hatte, zu einem Jahr und acht Monaten auf Bewährung. Das war für ihn aber noch nicht das Ende vom Lied. England hatte inzwischen wegen anderer Vergehen seine Überstellung beantragt, sodass er unmittelbar nach seiner Freilassung erneut festgenommen und ausgeliefert wurde.

Der folgende Prozess in Großbritannien, der zu einer Freiheitsstrafe von zwei Jahren führte, muss immer noch nicht der letzte sein. Es könnte auch noch ein Prozess in den USA drohen. Jedenfalls hat das FBI vom BKA zahlreiche Beweismittel erhalten …

Versteckte Daten

An den Vortrag über die Hackerjagd schloss sich ein weiteres interessantes Referat darüber an, wie sich Netzwerksteganografie mit KI-Methoden erkennen lässt. Bei dieser Technik verstecken Angreifer gestohlene Daten etwa in Netzwerkpaketen von DNS-Anfragen, die ein gekaperter Client-Rechner an einen DNS-Server der Angreifer verschickt.

Als regelgerechter DNS-Verkehr würden die Daten die Firewalls passieren. Ein vom Referenten Nils Rogmann entwickeltes Tool erkennt jedoch anhand diverser Merkmale – etwa der Paketgröße oder der Sendefrequenz – ein Muster, das die verdeckte Ausleitung enttarnt.

Weitere Referate beschäftigten sich mit der automatischen Zuordnung von CVE-IDs zu installierter Software auf den Servern eines Rechenzentrums (Tanja Hanauer), mit der Vernetzung operativer Sicherheitsteams (Oliver Göbel) oder der Live-Korrelation von Threat-Intelligence- mit historischen Daten (Matthias Vallentin, Titelbild).

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben