Drei Fragen und Antworten: Warum man sich einfach mal selbst hacken sollte
Selbsthacking zeigt, wo die eigenen Systeme noch Angriffspunkte für Kriminelle bieten. Mit den richtigen Tools geht das auch ohne Hacking-Vorwissen.
(Bild: iX)
Die Abwehrmaßnahmen der Unternehmens-IT wurden durch moderne Angriffstechniken ausgehebelt – was zunächst nach einem Schreckensszenario klingt, kann ein wichtiger Teil Ihrer Sicherheitsstrategie sein: Wer sich selbst hackt, lernt viel über die eigenen Systeme. Georg Bube und Stephan Brandt, die Titelautoren der aktuellen iX, erklären im Interview, wie das funktioniert und warum es auch mit wenig Hacking-Erfahrung klappt.
Sich selbst hacken – das klingt zunächst aufregend, aber auch kompliziert. Welches Level an Hacking-Erfahrung braucht man dafür?
Für die meisten Low-Hanging Fruits und Quick Wins braucht es nicht besonders viel Vorwissen. Mit verschiedenen Tools sammelt man Informationen, die es im Anschluss auszuwerten gilt. Wer selbst Applikationen oder Umgebungen betreut, kann in der Regel auch mit den Hinweisen der Tools gut arbeiten.
Welche Tools nehmen engagierten Selbst-Hackern die Arbeit ab? Setzt man dabei die gleichen Werkzeuge ein, die auch Hacker mit bösen Absichten verwenden?
Das richtige Tool hängt selbstverständlich vom jeweiligen Anwendungsfall ab. Für Webapplikationen bieten sich Interception-Proxies wie ZAP (Zed Attack Proxy) von der OWASP oder auch die BurpSuite an. Für die eigene Active-Directory-Umgebung eignen sich Tools wie PingCastle oder Purple Knight, um einen ersten (farbkodierten) Überblick über das Sicherheitsniveau zu gewinnen. Beide Tools bieten nützliche Informationen zur Adressierung der detektierten Risiken.
Um simulierte Angriffe möglichst realitätsnah zu gestalten, sollten die gleichen Methoden und Werkzeuge zum Einsatz kommen, wie sie Angreifer nutzen. Es gibt daher auch Pentesting-Werkzeuge, die Hacker mit bösen Absichten selbst verwenden. Ein bekanntes Beispiel hierfür ist Cobalt Strike. Dabei handelt es sich um ein modulares Post-Exploitation-Framework zur Simulation von Cyberangriffen. Obwohl der Anbieter die Lizenzvergabe streng kontrolliert, gelingt es insbesondere professionell aufgestellten Cybercrime-Organisationen immer wieder, an Cobalt Strike zu gelangen. Die Cisco Talos Intelligence Group berichtete bereits 2020, dass ein Großteil der Ransomware-Angriffe Cobalt Strike verwenden.
"Gehackt werden" verbinden die meisten wohl eher mit negativen Erlebnissen. Welche Folgen drohen beim Selbsthacking für eigene Systeme?
Natürlich sollte man beim Selbsthacking gesunden Menschenverstand walten lassen und angemessene Vorsichtsmaßnahmen ergreifen, etwa über Backups. Selbsthacking von Webapplikationen kann man zudem beispielsweise gegen eine Testinstanz durchführen – insbesondere, wenn aktive Techniken Anwendung finden. Tools hingegen, welche ausschließlich Informationen abfragen und sammeln, sind in der Hinsicht etwas unbedenklicher. Bedauerlicherweise befinden sich in vielen internen Netzwerken noch immer Systeme, die der jeweilige Hersteller schon lange nicht mehr unterstützt und die aufgrund ihres Alters auch entsprechend anfällig sind. Gegen solche Systeme sollte man Scans vermeiden, da Komplikationen hier häufiger auftreten. Mittelfristig sollten sie natürlich ausgetauscht werden.
Herr Bube, Herr Brandt, vielen Dank für die Antworten! Wie man das Selbsthacking im Unternehmen professionell angeht, zeigen die beiden Titelartikel der neuen August-iX, die ab sofort erhältlich ist.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(jvo)
