Die Szene, in der ein Hackerangriff stattfindet, kennen wir alle aus Fernsehserien wie NCIS. Dort arbeiten Abby Sciuto (gespielt von Pauley Perrette) und Timothy McGee (gespielt von Sean Murray) in ihrem schwach beleuchteten forensischen Labor und versuchen, einen Cyberkriminellen abzuwehren, der unbedingt Informationen über ihre Ermittlungen stehlen möchte.
Inmitten eines Wirrwarrs aus unverständlichem Technologie-Gerede (Er hat die Firewall durchbrochen! Das ist eine DOD-Level-9-Verschlüsselung!) beginnen die beiden, sich zu verteidigen. Schließlich tippen sie sogar gleichzeitig auf derselben Tastatur. Es ist – um es milde auszudrücken – einfach absurd.
Platznehmen. Wir hacken.
Solche Szenen veranschaulichen auf perfekte Weise, was an der Darstellung von Hacking in Film und Fernsehen so falsch ist. Einbrüche in entfernte Computersysteme geschehen in Sekundenschnelle, begleitet von einer Flut bedeutungsloser, grüner Texte und zufälliger Pop-ups.
Die Realität sieht dagegen viel unspektakulärer aus. Hacker und professionelle Penetrationstester nehmen sich Zeit, um die Netzwerke und Systeme, die sie angreifen wollen, genau zu verstehen. Sie versuchen, die Netzwerktopologien sowie die verwendete Software und Hardware zu analysieren. Dann suchen sie nach Möglichkeiten, wie diese Schwachstellen ausgenutzt werden können.
Vergessen Sie das Echtzeit-Counter-Hacking, wie es in NCIS dargestellt wird. So funktioniert es in Wirklichkeit nicht. Sicherheitsteams konzentrieren sich lieber auf präventive Maßnahmen, indem sie sicherstellen, dass alle nach außen gerichteten Systeme aktuell und korrekt konfiguriert sind. Sollte ein Hacker dennoch die äußere Verteidigung überwinden, übernehmen automatisierte Intrusion Prevention Systems (IPS) und Intrusion Detection Systems (IDS) die Schadensbegrenzung.
Diese Automatisierung ist notwendig, da die meisten Angriffe nicht gezielt erfolgen, sondern eher opportunistischer Natur sind. Ein Angreifer könnte einen Server so konfigurieren, dass er das Internet nach offensichtlichen Sicherheitslücken durchsucht und diese dann mit vorbereiteten Angriffsskripten ausnutzt. Angesichts der großen Anzahl solcher Angriffe ist es nicht praktikabel, sie alle manuell zu bearbeiten.
Das meiste menschliche Eingreifen erfolgt erst nach einer Sicherheitsverletzung. Dann geht es darum, den Einstiegspunkt zu identifizieren und zu schließen, um eine Wiederholung zu verhindern. Incident-Response-Teams versuchen auch, den verursachten Schaden zu ermitteln, Wege zur Schadensbehebung zu finden und zu prüfen, ob rechtliche Vorgaben verletzt wurden, die berücksichtigt werden müssen.
Das alles ist aber wenig unterhaltsam. Wer will schon zusehen, wie jemand akribisch Dokumentationen für unbekannte Unternehmens-IT-Geräte studiert oder Server-Firewalls konfiguriert?
Capture the Flag (CTF)
Hacker treten zwar gelegentlich in Echtzeit gegeneinander an, aber in der Regel zu Übungszwecken und nicht aus strategischen Motiven.
Die Rede ist von Capture the Flag (CTF)-Wettbewerben. Diese finden oft im Rahmen von IT-Sicherheitskonferenzen wie den verschiedenen BSides-Events statt. Dort konkurrieren Hacker über einen bestimmten Zeitraum miteinander und stellen sich verschiedenen Herausforderungen. Je mehr Herausforderungen sie meistern, desto mehr Punkte erhalten sie.
Es gibt zwei Arten von CTF-Wettbewerben. Bei einem Red-Team-Event versuchen Hacker (oder ein Team von Hackern), erfolgreich in bestimmte Systeme einzudringen, die keine aktive Verteidigung haben. Eine Art Schutz wird vor dem Wettbewerb eingerichtet, um einen gewissen Widerstand zu simulieren.
Bei der zweiten Art von Wettbewerb treten Red Teams gegen defensive Blue Teams an. Red Teams erhalten Punkte für das erfolgreiche Eindringen in Zielsysteme, während die Blue Teams danach bewertet werden, wie effizient sie diese Angriffe abwehren.
Die Herausforderungen variieren je nach Veranstaltung, dienen aber in der Regel dazu, die Fähigkeiten zu testen, die Sicherheitsexperten tagtäglich benötigen. Dazu gehören Programmierung, das Ausnutzen bekannter Schwachstellen in Systemen und Reverse Engineering.
Obwohl CTF-Events sehr wettbewerbsorientiert sind, verlaufen sie selten kontrovers. Hacker sind von Natur aus neugierige Menschen und teilen ihr Wissen gerne mit anderen. Daher ist es nicht ungewöhnlich, dass gegnerische Teams oder Zuschauer Informationen austauschen, die einem Rivalen helfen könnten.
CTF aus der Ferne
Natürlich gibt es auch hier eine Wendung. Aufgrund von COVID-19 wurden alle persönlichen Sicherheitskonferenzen für das Jahr 2020 abgesagt oder verschoben. Dennoch können Menschen weiterhin an CTF-Veranstaltungen teilnehmen und dabei die Regeln für Hygiene und soziale Distanzierung einhalten.
Seiten wie CTFTime sammeln Informationen über anstehende CTF-Events. Wie man es von einer persönlichen Veranstaltung erwarten würde, sind viele davon wettbewerbsorientiert. CTFTime zeigt sogar eine Rangliste der erfolgreichsten Teams an.
Wer lieber warten möchte, bis wieder persönliche Treffen möglich sind, kann auch an Solo-Hacking-Challenges teilnehmen. Die Website Root-Me bietet eine Vielzahl von Herausforderungen, die Hacker auf die Probe stellen.
Eine weitere Möglichkeit, wenn man keine Angst hat, eine Hacking-Umgebung auf dem eigenen PC zu erstellen, ist Damn Vulnerable Web Application (DVWA). Wie der Name schon sagt, weist diese Webanwendung bewusst Sicherheitslücken auf, die es angehenden Hackern ermöglichen, ihre Fähigkeiten sicher und legal zu testen.
Es gibt nur eine Regel: Keine zwei Leute an einer Tastatur!