Oft heißt es: „Man braucht einen Dieb, um einen Dieb zu fangen“. In der Welt der IT-Sicherheit muss man allerdings kein Cyber-Krimineller sein, um einen zu erwischen – aber es ist sicherlich von Vorteil, zu verstehen, wie Angreifer denken.
Um die Denkweise von Cyber-Kriminellen zu verstehen, muss man die Arten von Schwachstellen kennen, die sie ausnutzen möchten. Zwei häufige Ursachen für Schwachstellen sind Designschwächen und eine unsichere Codierung.
Warum Designschwächen bei Angreifern besonders beliebt sind
Das Ziel von Hackern ist es, die IT-Systeme gegen sich selbst arbeiten zu lassen. Sie bringen anfällige Systeme und Anwendungen dazu, zum Beispiel den Diebstahl von Daten und geistigem Eigentum zu unterstützen.
Eine solche Designschwäche, die entdeckt wurde, als die Sprachsteuerung bei Mobilgeräten gerade aufkam, war erstaunlich einfach. Sie erlaubte die Umgehung der anwenderfreundlichen Benutzeroberfläche von Sprachassistenten. iPhones konnten so angewiesen werden, Nummern nach Wahl der Angreifer anzurufen oder eine bösartige Website zu öffnen, von der weitere Malware heruntergeladen und installiert werden konnte.
Forscher der Universität Zhejiang, die die Schwachstelle entdeckten, fanden heraus, dass Sprachbefehle in Frequenzen, die für das menschliche Ohr zu hoch sind, von Sprachassistenten noch „gehört“ werden können. Für die praktische Umsetzung dieser Technik musste man sich nur mit günstiger zusätzlicher Ausrüstung – einschließlich eines winzigen Lautsprechers und Verstärkers – in der Nähe des Ziel-Smartphones befinden.
2021 Gartner Magic Quadrant Für Privileged Access Management – Zum Download
Unsichere Codierung im Visier
Eine andere bedeutende Schwachstelle ist die unsichere Codierung. Diese Sicherheitslücke entsteht vor allem dann, wenn Programmierer sich nicht an die Regeln für eine sichere Programmierung halten – was in der Softwarewelt leider sehr verbreitet ist.
Diese Schwachstellen treten in vielen Varianten auf – einschließlich speicherbasierter Fehler, die es Angreifern ermöglichen, Code an Stellen im Speicher zu schreiben, an denen das nicht möglich sein sollte. Dazu zählen auch Schwachstellen bei der Verwaltung von Anmeldeinformationen, durch die Angreifer Zugriff auf Credentials erhalten können, die nicht für sie bestimmt sind. Manchmal zeigen Programme nur Debugging-Informationen an, die Angreifern weitere nützliche Informationen liefern, die sie ausnutzen können.
Ein Beispiel dafür ist ein Bug beim Sudo-Befehl. Dieser Befehl wird in allen Linux-Betriebssystemen häufig verwendet. Der Bug wurde im Januar 2021 entdeckt und ermöglicht einem Angreifer, die Rechte eines Benutzers ohne jegliche Privilegien auf einem lokalen Host-Rechner zum Root-Zugriff – dem Äquivalent eines Administrators – zu erweitern. Durch die unsichere Codierung besteht die Möglichkeit, dass Angreifer potenziell auf alles auf dem Host zugreifen können. Heute sind Millionen von Rechnern im Einsatz, die für diesen einfach auszunutzenden Fehler anfällig sind.
Doch wie finden Angreifer genau diese Schwachstellen? Eine gängige Technik ist das Fuzzing. Bei diesem automatisierten Softwaretestverfahren werden durch die zufällige Eingabe ungültiger und untypischer Daten in einem Computerprogramm nach Softwarebugs gesucht, um so Codierungsfehler und Sicherheitslücken zu entdecken.
Der Angreifer geht davon aus, dass sich irgendwo im Programm ein versteckter Bug befindet. Nun muss er noch zwei Herausforderungen bewältigen. Zuerst muss er entdecken, wo genau sich der Fehler befindet. Anschließend muss er herausfinden, welche Eingaben im Programm den Fehler hervorrufen.
Andererseits können auch Schwachstellenforscher auf solche Techniken zurückgreifen, um Programmierfehler zu finden und zu beheben. Fuzzing-Tools sind einfach zu bedienen. Der Nutzer muss nur einen sehr kleinen Teil der Software überprüfen, das Programm macht dann den Rest.
Schwachstellenforscher müssen lernen, wie ein Angreifer zu denken. Durch die Analyse von Schwachstellen, nach denen auch Angreifer suchen, können Forscher potenzielle Lücken finden und die Sicherheitslage von Unternehmen deutlich verbessern.
Das Ausnutzen der richtigen Schwachstellen kann dazu führen, dass Abwehrmechanismen ausgehebelt werden oder Angreifer ihre Rechte erweitern und so privilegierte Konten kompromittieren können. Letzteres ist der zentrale Aspekt eines Cyberangriffszyklus. Wenn Sie mehr darüber erfahren möchten, wie Privileged Access Management dazu beitragen kann, diesen Zyklus zu durchbrechen und kritische Daten, Infrastrukturen und Vermögenswerte von Unternehmen zu schützen, laden Sie sich ein kostenloses Exemplar des Gartner 2021 Magic Quadrant for Privileged Access Management1 herunter.
1 Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19. Juli 2021
Gartner unterstützt keine der in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Die Forschungspublikationen von Gartner geben die Meinungen der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt jede ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Studie ab, einschließlich jeglicher Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck.