Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Peinliches Sonderangebot: Cracker verhökert Zugang zu Militär- und Regierungsseiten

Wenn man der amerikanischen IT-Sicherheitsfirma Imperva glauben kann, sind in den Finsterecken des Webs echte Schnäppchen zu machen: Vollzugang zu  Militär- und Regierungsseiten soll es ab 33 Dollar geben. Wer noch 20 Dollar drauflegt, bekommt ein 1000er-Päckchen geheimer Personaldaten dazu.

Hacker: Viele sitzen in Wahrheit in Kinderzimmern, die viel freundlicher gestaltet sind Zur Großansicht
Corbis

Hacker: Viele sitzen in Wahrheit in Kinderzimmern, die viel freundlicher gestaltet sind

Meist bleiben Angaben über die geheimnisvollen Geschäfte in den Finsterecken des Webs diffus. Oft ist die Rede von Kreditkartendaten, die man für Centbeträge kaufen könne, von Botnets, die man für ein Taschengeld mieten kann, von DDoS-Attacken, die man zum Dumpingpreis bestellt. Dass mit kriminellem Hacking, mit Spam, Viren und Schutzgelderpressungen Geld verdient wird, steht außer Frage. Wieviel, darüber gibt es Schätzungen, Vermutungen und Legenden.

Wenn man den Angaben des amerikanischen IT-Sicherheitsunternehmens Imperva glauben kann, sollte man vielleicht eher sagen, wie wenig: Die Experten der Firma stießen auf ein offenbar plausibles, ernst gemeintes Angebot eines Crackers (so nennt man kriminell motivierte Hacker), der teils hoch geheime militärische und Regierungs-Webseiten als geknackte Server zur Ausforschung oder Übernahme anbietet. Insgesamt soll der Cracker zurzeit Zugang zu 16 solchen Seiten anbieten.

Für Summen zwischen 33 und 499 Dollar preise der Cracker Vollzugänge zu italienischen Regierungsseiten an, aber auch zu Seiten der US-Armee. Die Perle im Angebot ist eine echte Peinlichkeit: Der Cracker gibt unter anderem an, dass er über einen Vollzugang zu Cecom, dem Communications-Electronics Command der US-Army verfüge. Die Armeee-Abteilung wurde eingerichtet, um IT- und Kommunikationssysteme für den Gefechtseinsatz der US-Army zu entwickeln. Dazu zählen neben Kommunikations- und Telemetriesystemen auch Feindüberwachungssysteme.

Ergänzt wird das Angebot, dass der Cracker auf einem von Imperva nicht benannten Warez-Marktplatz macht, durch Datenpakete für 20 Dollar, die aus jeweils 1000 Datensätzen mit Namen, Kontakt- und Adressdaten von Personen zusammensetzen, die der Cracker auf den von ihm gekaperten Seiten abgefischt haben will. Aus einzelnen Datenbanken geknackter Webseiten will er Personal-Datenbestände in bis zu sechsstelliger Höhe gestohlen haben.

Spektakulärer Hack, profane Methodik

Der Wahrheitsgehalt der Angaben des Crackers ist schwer zu überprüfen. Teil des Angebotes sind Protokolle, die Teile der Hacks dokumentieren: Die sehen plausibel aus.

Sie deuten darauf hin, dass die Hacks mit Hilfe sogenannter SQL-Injektionen gelangen. Dabei werden Sicherheitslücken in SQL-Datenbanken (Schnittstellen dazu sind zum Beispiel Suchformulare auf Webseiten) ausgenutzt, um zunächst einige Datenbankbefehle einzuschleusen. Von da ausgehend versucht der Einbrecher, möglichst viel Daten abzuschöpfen oder im günstigsten Fall die Kontrolle über einen solchen unzureichend abgesicherten Server zu erlangen.

Das soll im aktuellen Fall mehrfach geschehen sein: Für einige der gehackten Server bietet der Cracker die Übernahme der Kontrolle auf Root-Ebene an - salopp gesagt die volle Kontrolle. Der Käufer wird damit zum Administrator der Seite, kann dort tun, was er will.

Besonders qualifiziert brauchte der Cracker für seine Erfolge nicht zu sein, sagte Imperva-Manager Noa Bar-Yosef in einem Gespräch mit IDG News: Für SQL-Injektionen griffen Cracker gern auf gängige Software-Werkzeuge zurück, die man ebenfalls für kleines Geld kaufen kann. Viele solche Attacken seien das Werk minderjähriger Script-Kiddies ohne Programmierkenntnisse - der Hack ist ein weitgehend automatisierter Vorgang, der nur greift, wenn eine Seite entsprechend schlecht gesichert ist.

pat

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 11 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. .
static_noise 23.01.2011
Wie immer : Schlecht recherchiert! SQL Injection basiert nicht auf einer Schwäche von Datenbanken, sondern auf einer Schwäche in deren Nutzung durch die Software darüber. Die Überprüfung der eingegebenen Usernames oder Passwörter durch die Software erfolgt derart schlecht konzipiert, dass man eine Stück SQL Code (Datenbankabfragesprache) statt des Username oder Passwort in das Eingabefeld tippt und sozusgagen 'immer eine korreket Eingabe' vorliegt. Das ist wie mit dem Airbus, nicht der hatte einen Konstruktionsfehler sondern das RollsRoyce Triebwerk welches ausdrücklich auf Wunsch des Kunden und entgegen der Empfehlung von Airbus eingebaut wurde. So gesehen hätte man Airbus nicht mal in den Artikeln erwähnen müssen.
2. .
normen.nescio 23.01.2011
kann man auch einfacher erklären. Außerdem werden Leute, die wissen was das ist, den Artikel auch so verstehen und alle anderen dürfte das wohl nicht großartig interessieren, außer das es eine Sicherheitslücke ist. Und wer daran interessiert ist und noch keine Ahnung, wird sowas mit Sicherheit nicht bei Spiegel nachschauen. Aber mal abgesehen davon, finde ich es ziemlich kurious und irgendwie auch amüsant, wie solch ein Fehler bei Programmen im Bereich Militär und Regierung überhaupt existieren kann. Sowas prügeln einem die Dozenten doch schon relativ früh ein. SQL Injection verhindern durch ein paar ganz simple Maßnahmen...
3. Wer MS SQL Server nutzt
rmuekno 23.01.2011
glaubt auch eine Cloud ist sicher. Alle Hacker Cracker danken Microsoft für seine Sicherheitslücken und trotz allen Berichten, Warnungen nimmt die Microsoft Wahn immer mehr zu. Aber wie heißte es so schön "10000 Fliegen fressen Scheiße und alle andern machen mit"
4. Cracker ist ein knuspriges Gebäck
Oberleerer 23.01.2011
Wie mans macht, macht mans verkehrt :) Ich habe mich früher auch daran gestört, dass die bösen Buben Hacker genannt werden, aber im Volk hat sich das nunmal so eingebürgert. Da sollte der Minister für Rechtschreibung eine Anhörung einleiten.
5. da knuspert der Zahn der Zeit...
deekline 24.01.2011
Zitat von OberleererWie mans macht, macht mans verkehrt :) Ich habe mich früher auch daran gestört, dass die bösen Buben Hacker genannt werden, aber im Volk hat sich das nunmal so eingebürgert. Da sollte der Minister für Rechtschreibung eine Anhörung einleiten.
Ich bin mir nicht ganz sicher, welche Zentralstelle heute fuer die Definition solcher Begriffe zustaendig ist: In den spaeten achtzigern und fruehen neunzigern waren "Cracker" Szene-Kids, die den Kopierschutz von Mainstream-Software im Wettlauf mit Herstellern umgangen haben, und zwar meist in sportlicher Absicht (vergleichbar mit der heutigen "Moviez"-release-Szene), wohingegen "Hacker" sich mittels Modem und Datex-P in Firmennetzen herumgetrieben haben. Die ersten kriminell motivierten Aktionen waren eher den Hackern zuzuordnen. Es fragt sich, woher der Autor seine Weisheiten bezieht...
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: