Bei Angriffen auf Firmennetzwerke arbeiten Hacker immer öfter mit Mitarbeitern zusammen. ZDNet zeigt auf, mit welchen Tools und Methoden auch unerfahrene Nutzer Spionen einen Zugang zum Unternehmensnetz schaffen.
Die Sicherheit von Unternehmensnetzen ist heutzutage nicht mehr nur von außen gefährdet. Zunehmend versuchen Datendiebe auch Mitarbeiter von Firmen für ihre Zwecke zu rekrutieren. Das zeigt beispielsweise der Aurora-Angriff[1], hinter dem die chinesische Regierung vermutet wird. Google konnte illoyale Mitarbeiter identifizieren, die den Angreifern geholfen haben.
Während sich die meisten Unternehmen aber gegen Angriffe von außen schützen, sind sie gegen Attacken aus den eigenen Reihen oft nicht richtig gerüstet. In vielen Firmennetzen ist es Mitarbeitern auch ohne spezielle Kenntnisse möglich, mit professionell agierenden Industriespionen zusammenzuarbeiten, die es auf die Daten und das Know-How von Unternehmen abgesehen haben.
Eine der größten Gefahren liegt dabei in der Ausnutzung bekannter Sicherheitslücken. Das Beispiel Conficker[2] zeigt, dass viele Unternehmen ihre Intranet-Server nicht regelmäßig updaten. Obwohl Microsoft bereits im Oktober 2009 vor der Sicherheitslücke MS08-67[3] warnte[4], verbreitete sich Conficker ab Dezember in zahlreichen Unternehmensnetzen. Im Februar 2010 mussten gar französische Kampfflugzeuge wegen Conficker am Boden bleiben.
Eine Infektion mit dem Conficker-Wurm bleibt nicht lange unentdeckt. Anders ist das bei gezielten Angriffen mit dem Zweck, Daten zu entwenden. Dieselbe Lücke, die der Conficker-Wurm nutzt, kann auch von anderen Programmen genutzt werden.
Bildergalerie
So werden Firmenserver von Mitarbeitern angegriffen[5]
» zur Bildergalerie ...[5]Das Framework unterscheidet zwischen Exploits und Payloads. Ein Exploit ist Programmcode, der eine Schwachstelle ausnutzt. Das Framework wird täglich um aktuelle Exploits ergänzt. Anhand des Namens lässt sich meist der zugehörige Microsoft-Security-Bulletin ablesen, siehe Bild 2[8].
Jeder Exploit kann mit einem Payload kombiniert werden, der die Fernsteuerung eines fremden Servers erlaubt. Für Windows-Rechner ist Meterpreter[9] (PDF) besonders beliebt. Es erlaubt verschiedene Angriffe, etwa den Dump der gesamten Password-Hash-Datenbank des kompromittierten Rechners. Außerdem lässt sich jeder beliebige Prozess starten, beispielsweise cmd.exe, um eine Kommandozeile auf dem fremden Rechner zu bekommen, siehe Bild 3[10]. Damit hat der Angreifer Zugriff auf alle Daten.
Auch wenn ein Server nicht aus dem Internet erreichbar ist, sollte man ihn immer auf dem neuesten Patchstand halten. Das Metasploit-Framework wird zwar mit der Kommandozeile bedient, dennoch kommen damit auch weniger versierte Benutzer zurecht. Dazu müssen sie nur eine Liste mit Kommandos abtippen, die sie von einem professionellen Angreifer erhalten haben.
Ein beliebtes Objekt für Datendiebstahl sind Zugangsdaten wie Benutzername und Passwort. Das geht so weit, dass manche Mitarbeiter ohne konkreten Anlass versuchen, an Zugangsdaten zu kommen, um sie im "Bedarfsfall" einsetzen zu können. Teilweise gelingt dies mit trivialen Mitteln: Beispielsweise kann ein Mitarbeiter einen eigenen Webserver aufsetzen und auf einem Logon-Screen zur Eingabe von Benutzernamen und Passwort auffordern. Arglose Mitarbeiter geben dabei häufig ihre Firmenpasswörter ein. Früher oder später wird dies jedoch einem Administrator auffallen.
Wesentlich unauffälliger sind Angriffe mit eigens dafür modifizierten Samba-Servern[11] unter Linux. Dazu legt ein Mitarbeiter Dokumente nicht auf einem offiziellen Server des Unternehmens ab, sondern auf einem, den er selbst aufgesetzt hat. Das kann beispielsweise mittels einer virtuellen Maschine geschehen.
Mitarbeitern, die dieses Dokument benötigen, schickt er einen SMB-Link wie \\HACKERSERVER\SHARE\Wichtiges Dokument.docx. Auch andere Lockmethoden sind beliebt, etwa das Anbieten von MP3-Dateien im Kollegenkreis.
Windows hat die Eigenschaft, zunächst das Domänen-Passwort des angemeldeten Benutzers bei jedem Server auszuprobieren, sofern der betreffende Share nicht generell ohne Authentifizierung erreicht werden kann. Dazu fragt es beim Benutzer nicht nach.
Die ersten modifizierten Versionen von Samba haben vorgegeben, nur Klartextpasswörter zu akzeptieren. Ältere Windows-Clients haben daraufhin Benutzername und Kennwort unverschlüsselt über das Netz geschickt, die der modifizierte Samba-Server in einer Textdatei abgespeichert hat. Den Zugriff auf den Share hat der Server in jedem Fall gewährt, so dass der arglose Nutzer auf die Datei zugreifen konnte, ohne zu wissen, dass sein Passwort kompromittiert wurde.
Windows-Versionen ab XP lehnen grundsätzlich die Übertragung des Klartextpassworts über das Netz ab, sofern dies nicht in der Sicherheitsrichtlinie explizit erlaubt wurde, siehe Bild 4[12]. Das bietet jedoch keinen echten Schutz. Wenn Windows-Clients ein Passwort verschlüsselt senden, bedeutet das, dass es noch auf dem Client in einen Hashwert umgerechnet wird, aus dem sich das Klartextpasswort nicht mehr berechnen lässt.
Dieser Hashwert wird mittels Challenge-Response-Verfahren verschlüsselt an den Server geschickt, der ihn wieder entschlüsselt und mit der lokalen SAM- oder der Active-Directory-Datenbank vergleicht. Neuere Samba-Hacks speichern den erhaltenen Hashwert anstelle des Klartextpassworts zusammen mit dem Benutzernamen ab.
Mit Standard-Windows-Programmen, etwa dem Windows-Explorer, lässt sich der Hashwert nicht nutzen. Trotzdem gilt, dass der Hashwert eines Passworts genauso gut ist, wie das Passwort selbst. Mit einem eigenen Programm, das das SMB-Protokoll nachbildet, kann der Hashwert zur Authentifizierung verwendet werden. Diese Form des Angriffs wird Pass-the-Hash-Attacke[13] genannt. Auch dafür bietet das Metasploit-Framework einen Exploit, der sich mit dem Meterpreter-Payload kombinieren lässt.
Den besten Schutz gegen diese Form des Angriffs erreicht man dadurch, dass man Rechnern, die nicht zum Firmennetz gehören, den Zugang zum Intranet bereits auf der MAC-Ebene verweigert, etwa durch 802.1X-Authentifizierung und die Network Access Protection[14] von Windows Server 2008. So können Mitarbeiter keine Rechner mit modifizierten SMB-Servern ins Netz nehmen. Sollten Mitarbeiter jedoch auf andere Art und Weise[15] an Passwort-Hashwerte gekommen sein, können sie diese von ihren Arbeitsplatzrechnern aus für Angriffe verwenden.
Derzeit existiert kein Metasploit-Modul, das Pass-The-Hash-Angriffe mit der NTLMv2-Authentifzierungsmethode[16] erlaubt. Wer seine Server so konfiguriert, dass sie nur NTLMv2-Verbindungen akzeptieren, hat dennoch nur einen geringen Schutz, da Angreifer einen NTLMv2-kompatiblen Exploit entwickeln können. Zudem verhindert diese Methode nicht, dass Mitarbeiter Passwort-Hashwerte sammeln.
Für Angreifer außerhalb des Unternehmens stellt sich oft die Frage, wie sie sich einen Zugang in das Firmennetz verschaffen. Beliebt sind dabei Methoden, die nicht den meist gut protokolierten offiziellen VPN-Zugang verwenden.
Grundsätzlich können Angreifer keine Verbindung zu dem Rechner eines Mitarbeiters aufbauen, den sie anschließend als Gateway für Angriffsversuche einsetzen, da sie nicht durch NAT-Router und Firewall kommen. Anders sieht es aus, wenn ein illoyaler Mitarbeiter selbst eine Verbindung nach außen zu einem Rechner des Angreifers aufbaut.
Dabei kommt beispielsweise ein SSH-Server des Angreifers zum Einsatz. Auf dem Rechner des Mitarbeiters muss lediglich ein SSH-Client wie Portable PuTTY[17] ausgeführt werden, der keine Administratorrechte erfordert. Wenn der Mitarbeiter eine SSH-Verbindung mit entsprechenden Port-Forwarding und Gateway-Optionen aufbaut, kann er einem Angreifer Zugang zu Firmenservern ermöglichen. Das genaue Verfahren beschreibt der ZDNet-Artikel "Portforwarding außer Kontrolle[18]".
Darüber hinaus gibt es weitere Möglichkeiten, sich Zugänge zu verschaffen. Benutzer, die über Administratorrechte verfügen, können ein End-to-End-VPN wie Hamachi[19] installieren. Grundsätzlich nützt es einem Angreifer nichts, wenn ein Mitarbeiter eine VPN-Serverlösung installiert, da er keinen Zugang dazu bekommt. End-to-End-VPNs setzen jedoch einen Vermittlungsserver im Internet ein, den der Anbieter der VPN-Software betreibt.
Falls möglich, vermittelt dieser Server eine direkte UDP-Verbindung zwischen den Rechnern des Angreifers und des Mitarbeiters. Verbieten das die Firewall-Settings im Firmennetz, versucht der Server die VPN-Verbindung durch eine HTTP- oder HTTPS-Verbindung auf Port 80 oder 443 zu tunneln. Dies gelingt in den meisten Fällen.
Hamachi bietet auch einen Gateway-Mode an, der einem Angreifer NAT-Zugang zum Firmennetz verschaffen kann. Dieser Gateway-Mode lässt sich auf Windows-Clients, die in einem Domänen-Netz sind, jedoch nicht aktivieren. Das ist allerdings in der Regel auch nicht notwendig. Wenn der Mitarbeiter etwa den Remote-Desktop-Zugang freischaltet, kann sich der Angreifer auf diese Weise einloggen und das gesamte Firmennetz nutzen.
Alternativen zu Hamachi sind OpenVPN[20] und tinc[21]. Auch sie erlauben einem illoyalen Mitarbeiter eine Verbindung zu dem Rechner eines Angreifers außerhalb des Firmennetzes aufzubauen. Sie sind allerdings komplizierter zu konfigurieren.
Schutz gegen solche Hintertüren erhält man nur durch ein sehr gutes, aber für die Benutzer auch restriktives Firewallkonzept. Es reicht nicht aus, seinen Benutzern alle Ports außer 80 und 443 zu sperren. Zwar kann ein Programm wie Hamachi, das diese Ports als Tunnel nutzt, nur mit Administratorrechten installiert werden, jedoch lässt sich auch ein SSH-Client durch HTTP oder HTTPS tunneln.
Das funktioniert wiederum ganz ohne Administratorrechte. Dazu kann man ein Programm wie corkscrew[22] oder Proxytunnel[23] einsetzen. PuTTY hat eine Proxy-Unterstützung für HTTP bereits eingebaut und benötigt nur für HTTPS ein externes Programm, siehe Bild 5[24]. Wie der SSH-Server muss der Proxy dazu nicht im Firmennetz stehen, sondern kann von einem externen Angreifer im Internet betrieben werden. Alternativ lässt sich jeder öffentliche Proxy im Internet nutzen, der den Connect-Befehl unterstützt. Letztere findet man aber kaum noch.
Um solche Angriffe tatsächlich auszuschließen, muss eine Layer-7-Firewall eingesetzt werden, die eine Tunnelung von anderen Protokollen durch HTTP und HTTPS erkennt. Dabei sollte immer zwischen Einschränkungen der Benutzer beim Internetzugang und dem Schutzbedürfnis der eigenen Daten abgewogen werden.
Der Datendiebstahl durch eigene Mitarbeiter ist heutzutage eine reale Gefahr, die nicht unterschätzt werden darf. Besonders gefährdet sind mittelständische Unternehmen wie Zulieferbetriebe der Automobilindustrie. Ausländische Regierungen und Konkurrenten sind nicht zimperlich, wenn es darum geht, an technologisches Wissen zu gelangen. Das zeigen Angriffe wie Aurora[1] und Ghostnet[25].
Für Firmen stellt sich daher immer mehr die Frage, wie sie sich gegen solche Angriffe schützen. Generell ist es wichtig, auch Intranet-Server, die von außen nicht erreichbar sind, gut abzusichern. Für die zahlreichen Sicherheitslücken in Betriebssystemen und Anwendungsprogrammen gibt es meist sehr schnell Exploits, die sich jedermann besorgen und einsetzen kann, beispielsweise mit dem Metasploit-Framework. Besonderes Fachwissen ist nicht erforderlich. Was zählt, ist allein die Bereitschaft von Mitarbeitern, Firmengeheimnisse preiszugeben.
Windows-Netzwerke bieten die Möglichkeit, zumindest die Hashwerte von Passwörtern einzufangen, wenn ein Mitarbeiter einen speziell präparierten SMB-Server aufsetzt. Vom quelloffenen Samba existieren zahlreiche sogenannte "Mods", die das erlauben. Wer etwa Kollegen auf einen solchen Server lockt, kann leicht in den Besitz deren Passwort-Hashwerte kommen, die sich dazu einsetzen lassen, unter fremden Accounts auf Server zuzugreifen.
Oft schaffen Mitarbeiter Hintertüren für Industriespione und andere Angreifer. Viele solcher Hintertüren sind nur schwer zu entdecken. Aus dem Intranet scheint es, als würde ein Mitarbeiter von seinem Arbeitsplatz legitim auf Daten zugreifen. Eine besondere Gefahr liegt dabei in der Tunnelung von beliebigen Protokollen durch HTTP und HTTPS. Für eine Tunnelung eigenen sich beispielsweise SSH mit seinen Port-Forwarding- und Port-Gatewaying-Funktionen sowie zahlreiche VPN-Programme.
Die aufgeführten Methoden sind Beispiele dafür, wie Mitarbeiter ohne besondere Kenntnisse zu Helfern von Industriespionen werden können. Da Angreifer sehr professionell und zielgerichtet arbeiten, sind weitere Angriffe denkbar, vor allem auch solche, die einen spezifischen Umstand in einem Firmennetz ausnutzen.
Der Zugang zu sensiblen Daten sollte daher immer bereits auf der Netzwerkzugangsebene erfolgen, beispielsweise durch ein VLAN-Konzept. Das ermöglicht es, den Zugang zu einem virtuellen Netz, in dem sich bestimmte Server befinden, nur den Mitarbeitern zu geben, die diese sensiblen Daten auch benötigen. Ein Schutz mittels logischer Authentifizierung wie Benutzername und Passwort ist heute nicht mehr ausreichend.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/
[18] = http:/
[19] = http:/
[20] = http:/
[21] = http:/
[22] = http:/
[23] = http:/
[24] = http:/
[25] = http:/