Angriff auf Sony: So stehlen Hacker sensible Daten

Der Einbruch in Sonys Playstation Network ist das Ergebnis eines perfekt organisierten Angriffs. ZDNet zeigt, wie Kriminelle mafiöse Strukturen entwickeln, Firmen infiltrieren und erst nach jahrelanger Vorbereitung zuschlagen.

Der Datengau bei Sony nimmt immer größere Ausmaße an. Inzwischen musste Sony auch den Multiplayer-Dienst Online Entertainment vorrübergehend schließen. Zunächst hieß es nur, es seien möglicherweise Kreditkarten ohne die Kartenprüfnummer entwendet worden. Inzwischen weiß man, dass die Kreditkartendaten inklusive Ablaufdatum und Prüfnummer auf einschlägigen illegalen Handelsplattformen angeboten werden.

George Hotz alias geohot (Foto: George Hotz, Quelle: Wikimedia).
George Hotz alias geohot (Foto: George Hotz, Quelle: Wikimedia).

Zunächst ging man davon aus, dass das anarchistisch organisierte Netzwerk Anonymous hinter dem Angriff gesteckt habe. Sony hatte zuvor den Hacker George Hotz (geohot) verklagt, weil er den Rootkey der Playstation 3 auf seiner Website veröffentlicht hatte. Dazu gab es ein Anleitungsvideo auf YouTube. Nach Auffassung von Sony hatte geohot gegen den Digital Millennium Copyright Act, das Urheberrecht sowie weitere Bundesgesetze und Gesetze des Staates Kalifornien gegen Computerbetrug verstoßen. geohot war bis dato vor allem für zahlreiche Jailbreaks für das iPhone bekannt geworden.

Anders als Apple wollte Sony jedoch nicht hinnehmen, dass Kunden ihre bezahlte Hardware frei nutzen können, sondern nur in der Weise wie Sony es vorsieht. Nachdem geohot zunächst Spenden für seine Anwaltskosten gesammelt hatte, einigte er sich mit Sony außergerichtlich, keine weiteren Hacks für die Playstation 3 zu veröffentlichen und entfernte den Key und das Anleitungsvideo aus dem Internet. Details zu dieser Vereinbarung sind nicht bekannt.

Anonymous startete einige DoS-Attacken mit dem Lasttesttool Loic und konnte damit einige Sony Websites vorübergehend lahmlegen. Obwohl das bloße Herunterladen des Tools in einigen Ländern, etwa in Großbritannien, verboten ist, wird es oft überschätzt. Zur Abwehr einer Attacke ist nicht einmal eine Firewall erforderlich. Es reicht beispielsweise aus, eine geschickte Apache-Konfiguration zu wählen, um Loic-Angriffe ins Leere laufen zu lassen.

Anonymous hat in seinem Blog jede Schuld von sich gewiesen (Screenshot: ZDNet).
Anonymous hat in seinem Blog jede Schuld von sich gewiesen (Screenshot: ZDNet).

Mit dem Datenklau bei Sony will Anonymous dagegen nichts zu tun haben. In seinem Blog bestritt die Gruppe jegliche Mitwirkung. Da scheint auch insofern plausibel, da Anonymous bisher nicht mit Diebstahl von Kreditkartendaten in Zusammenhang gebracht wurde. Das Netzwerk wurde vor allem bekannt, als es die Websites von Visa, Mastercard und Paypal angriff, nachdem diese sich weigerten, Spenden an Wikileaks weiterzuleiten.

Allerdings ist nicht auszuschließen, dass das große öffentliche Interesse an der juristischen Auseinandersetzung zwischen Sony und geohot dazu geführt hat, dass sich professionelle Cyberkriminielle an Sonys Playstation Network herangewagt haben – offentsichtlich aus ihrer Sicht erfolgreich. Selbst Anonymous vermutet, dass einige „Anons“, wie sich die Mitglieder des Netzwerkes nennen, Verbindungen zu kriminellen Hackern haben. Schließlich können die Kriminellen vom Wissen im Anonymous-Netzwerk profitieren.

Mafiöse Strukturen breiten sich aus

Heutige professionelle Cyberkriminelle müssen jedoch anders als das Anonymous-Netzwerk, das sich als moderne Robin-Hood-Organisiation versteht, zum Bereich der organisierten Kriminalität mit mafiösen Strukturen gerechnet werden. Sie operieren zum Teil als Softwareentwicklungs- oder Sicherheitsunternehmen mit Eintrag im Handelsregister, Angestellten mit Lohnsteuerkarte und offiziell angemieteten Büros.

Mit White-Hat-Hackern, die auf Schwachstellen in Betriebssystemen, Browsern und anderen Programmen aufmerksam machen wollen, haben sie nichts zu tun. Es geht schlicht und einfach darum, mit kriminellen Methoden an möglichst viel Bargeld zu kommen.


Juri Rjabinin 2003 auf einem Amateurfunktreffen (Quelle: Wired.com).

Auch bestehen heutige kriminelle Organisationen nicht nur aus Hackern. Die „Wertschöpfungskette“ ist äußerst komplex: Der im Februar 2008 festgenommene Juri Rjabinin alias Juri Rakuschtschynez versteht nicht viel von Zero-Day-Exploits und Bufferoverflows. Er hatte sich darauf spezialisiert, Kreditkartendaten auf illegalen Handelsplattformen zu kaufen und auf sogenannte White Plastics zu schreiben. Das sind leere Scheckkarten mit Magnetstreifen, auf die sich die gestohlenen Daten ablegen lassen. Einkaufen im Geschäft ist damit nicht möglich. Diese Karten tragen nicht einmal das Logo der Kreditkartenfirma. Ein Geldautomat hingegen gibt bereitwillig Bargeld heraus, wenn der Betrüger in Besitz der PIN ist.

Als Rjabinin in seiner Wohnung festgenommen wurde, fand die New Yorker Polizei 690.000 Dollar Bargeld, größtenteils in Müll- und Einkaufstüten im Schlafzimmerschrank. Später stellten die Behörden weitere 99.000 Dollar in angemieteten Schließfächern sicher. Rjabinin schwieg bei seiner Verhaftung. Seine Frau Olga war auskunftsfreudiger. Sie habe nur eine vage Vorstellung davon, wovon die beiden lebten. Sie wisse nur, dass ihr Mann des Öfteren mit weißen Plastikkarten das Haus verlässt und mit Tüten voller Geld zurückkomme.

„Freischaffende“ Geldautomatenbetrüger, die Daten auf Handelsplattformen kaufen, sind allerdings seltener geworden. In letzer Zeit bauen die mafiösen Organisationen mehr und mehr Strukturen auf und überlassen nichts dem Zufall. Die Leute, die von Geldautomat zu Geldautomat ziehen, werden professionell ausgebildet, um nicht erweischt zu werden. Sie sind Teil der Organisation. Das mindert das Risiko, auf Handelsplattformen für falsche und wertlose Daten zu zahlen.

Die Hacker, die nach Schwachstellen suchen, arbeiten in der Regel heute wie normale Angestellte. Sie untersuchen Betriebssysteme, Browser, Firewall- und Security-Lösungen auf mögliche Angriffspunkte und entwickeln Methoden, wie man bekannte Lücken ausnutzen kann, um in fremde Systeme einzudringen. Das alles kann offline geschehen, ohne dass man dazu mit dem Internet verbunden sein muss. Für ihre „Arbeit“ erhalten sie ein ganz normales Gehalt.

Firmen wie Sony verraten zu viel über sich selbst

Ein häufig unterschätztes „Geschäftsfeld“ ist die Informationsbeschaffung, welche Software in welcher Kombination bei einem Unternehmen zum Einsatz kommt. Dazu schleusen die Kriminellen Kontaktleute in Erfahrungsaustauschgruppen und Administratorstammtische ein. Dort bekommen sie meist bereitwillig erzählt, welche Firma welchen Browser, welches Betriebssystem und welche Firewall-Appliance einsetzt. Dabei ist jedes Detail wichtig, auch welche genaue Version und welche Sprache installiert ist.

Ferner werben die Cyberkriminellen Mitarbeiter in möglichen Opferfirmen an. Sie sollen gegen Bezahlung Malware im Unternehmen verbreiten, mit der der eigentliche Datendiebstahl vonstatten gehen soll. Ein Antivirenprogramm hilft dabei überhaupt nicht. Die Malware wird meist aus vorgefertigten Bausteinen und selbstentwickelten Modulen zusammengestellt. Da sie noch nie vorher eingesetzt wurde, ist keine Signatur bekannt, mit der sich die Schadsoftware erkennen ließe.

An einer Verbreitung der Malware sind die Betrüger gar nicht interessiert. Oft deaktiviert sich die Malware automatisch, sobald sie feststellt, dass sie nicht mehr im Intranet des Opfers betrieben wird.

Von einer solchen Software ist auch im Fall Sony auszugehen. Wie der Datendiebstahl genau vonstatten ging, ist nicht öffentlich bekannt. Man weiß jedoch inzwischen, dass auf dem Rechner eines Administrators mit Zugang zu allen Daten eine Schadsoftware eingeschleust wurde, die die Daten an Kriminelle übertragen hat.

Auch wenn Kriminelle heute versuchen, „vertikal integriert“ zu arbeiten, das heißt vom Erforschen von Sicherheitslücken bis hin zur Einschleusung von Malware in Unternehmen alles selbst zu übernehmen, spielen illegale Handelsplattformen nach wie vor eine wichtige Rolle. Eine kritische Sicherheitslücke eines weitverbreiteten Programms inklusive eines Exploits, den man in Schadsoftware integrieren kann, erzielt zwischen 10.000 und 30.000 Euro. So lassen sich Exploits verkaufen, für die man aktuell keine Verwendung hat.

Das ist relativ viel Geld verglichen mit den maximal etwa 3000 Dollar (2000 Euro), die Google oder Mozilla für eine entdeckte Sicherheitslücke in Chrome beziehungsweise Firefox als Belohnung ausloben. Immerhin bieten die beiden Unternehmen ein legales Betätigungsfeld für talentierte Sicherheitsexperten. Microsoft hingegen weigert sich standhaft ein entsprechendes Programm aufzulegen. Google hat den Maximalbetrag von 3133,70 Dollar bisher nur einmal ausgezahlt. Normalerweise erhalten Hacker 500 oder 1000 Dollar.

Illegale Handelsplattformen spielen auch nach wie vor bei dem Verkauf von Kreditkartendaten eine große Rolle. Wenn eine kriminelle Organisation wie im Fall Sony äußerst erfolgreich Daten stiehlt, verfügt sie meist nicht über genug Ressourcen, diese kurzfristig selbst zu Geld zu machen. Daher muss ein Großteil verkauft werden.

Bekämpfung von Datendiebstahl

Was die Bekämpfung von Kreditkartendiebstahl angeht, müssen die Kreditinstitute und ihre Kunden besser zusammenarbeiten. Sony scheint ein ideales Opfer gewesen zu sein, da es über die Daten der Kreditkarten verfügte, aber ein weniger ausgereiftes Sicherheitssystem als die meisten Finanzinstitute unterhält.

Denkbar wäre, dass die Kreditkartennummern erst gar nicht gespeichert werden, sondern sofort zusammen mit Ablaufdatum und Sicherheitscode über einen Key zu einem Hashwert verarbeitet werden, der über eine VPN-Verbindung dem Kreidtkartenunternehmen übermittelt wird. Verwendet man einen 128-Bit-Hashwert, sind Kollisionen, also zwei Kreditkartennummern, die denselben Hashwert ergeben, faktisch ausgeschlossen.

Selbst wenn Hacker in den Besitz von Hashwert und Hashkey kommen, können sie damit nichts anfangen, da pro VPN-Verbindung ein anderer Key vereinbart wird. Hacker, die nicht über die richtige VPN-Verbindung kommen, werden trotz korrekter Daten abgewiesen.

Auch müssen sich Unternehmen wie Sony überlegen, ob es notwendig ist, persönliche Daten, wie Name, Adresse, Geschlecht und Geburtsdatum der Playstation-Network-Benutzer zu kennen. Aus Marktforschungsaspekten ist es ausreichend, Geburtsjahr, Postleitzahl und Land zu speichern. Das reicht aus, um genau zu analysieren, welche Nutzer in welchem Alter in welchen Gebieten besonders häufig die Playstation nutzen. Daten, die man erst gar nicht erhebt, können auch nicht gestohlen werden.

Lukrative und risikoarme Form der Kriminalität

Der Fall Sony ruft erneut in Erinnerung, dass der Diebstahl von Daten ein lukratives Geschäft ist. Viele Unternehmen sind mit ihren Daten zu unvorsichtig. Für einen Diebstahl kann es ausreichen, dass ein Administrator auf einem Stammtisch darüber berichtet, welche Software sein Unternehmen einsetzt. Solche Dinge müssen als Firmengeheimnis betrachtet werden.

Teilweise machen es die Firmen den Angreifern noch einfacher. Der Amerikaner Albert „Segvec“ Gonzalez hackte sich mit seinem Notebook in die WLANs diverser Einzelhandelsfirmen, darunter bekannte Marken wie Boston Market, Barnes & Noble, Forever 21, OfficeMax und TJX. Dort zahlten ahnungslose Kunden mit ihren Kreditkarten an den Kassen. Was sie nicht wussten: Die Kassen übertragen die Kreditkartendaten per WLAN an die zentrale EDV und eben auch an den Laptop von Gonzales. So sammelten Gonzales und seine Komplizen insgesamt 40 Millionen Kreditkartendaten, die es galt, an den Mann zu bringen. Die WLAN-Netze waren nur per WEP veschlüsselt, was sich in wenigen Minuten knacken lässt.

Ferner ist der Datendiebstahl eine Form der Kriminalität, bei der das Risiko für die Täter nach wie vor gering ist. Die von Gonzales gestohlenen Daten, wurden von elf Tätern an Geldautomaten in Bargeld umgewandelt. Davon sind inzwischen zehn namentlich bekannt. Neben Gonzales selbst müssen aber nur zwei weitere Täter ihre Strafe absitzen. Die anderen konnten bisher nicht gefasst werden.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Hacker, Privacy, Security-Analysen, Sony Europe Limited; Zweigniederlassung Deutschland

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Angriff auf Sony: So stehlen Hacker sensible Daten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *