Computerhaus Quickborn TEST

Hacker-Hall of Shame: Die dümmsten Hacker
Autor(en): JR Raphael

Schweigen ist Gold. Gerade in Hackerkreisen sollte man sich das zu Herzen nehmen.
Wir zeigen Hacks, die so richtig schief gingen.

Die Top 5 der Hacker-Pleiten.
Foto: Fotolia/Iosif Szasz-Fabian

Auch Hacker sind hin und wieder dümmer als die Polizei erlaubt. Sie brechen in Systeme ein, hinterlassen
dabei eindeutige Spuren und prahlen mit ihren Taten. Unsere Schwesterpublikation PC World hat eine Hacker-Hall of Shame mit den fünf dümmsten Hackern zusammengestellt.

Hacker-Fiasko 1: Einbruch beim FBI getwittert

Der Hacker: Scott Matthew Arciszewski
Die Anklage: Scott Matthew Arciszewski wird vorgeworfen, illegal Dateien von der Tampa Bay InfraGard-Webseite
beschafft zu haben – ein Programm des FBI zur Prävention von Cyberkriminalität.

Im Juni 2011 bekannte sich LulzSec, eine Hacker-Vereinigung, die Seite von InfraGard gehackt zu haben – ein Programm
des FBI zur Prävention von Cyberkriminalität. Anstoß sei die aktuelle Gesetzesgrundlage
zu Cyber-Straffälligkeiten gewesen. Einen knappen Monat später hackte sich der 21-jährige
Scott Matthew Arciszewski in die Tampa Bay Website ein und lud drei Dateien herunter,
um diese an anderer Stelle zu veröffentlichen. Der Student mit Hauptfach Computertechnik
an der University of Central Florida prahlte anschließend mit seinem Einbruch mittels
Twitter und teilte auch gleich den Link zu den Informationen mit.

Arciszweski twitterte mehrmals sein Vergehen, auch an die formelle Pressestelle des
FBIs. Die Beamten glichen die IP-Adresse des Hacks mit denen des Twitterers ab, fanden
den echten Namen des Studenten heraus und überprüften verschiedene Fotos. Anschließend
verhafteten sie ihn in seinem Zimmer des Studentenwohnheims.

Hacker-Fiasko 2: Intime Miley-Cyrus-Bilder und Kreditkarteninformationen

Der Hacker: Josh Holly
Die Anklage: Josh Holly wird beschuldigt 200 gestohlene Kreditkarteninformationen zu besitzen
und Gmail- und MySpace-Accounts gehackt zu haben. Die Konten – auch von Prominenten
– sollen für den Versand von Spam-E-Mails missbraucht worden sein. Die Betrugshöhe
beträgt 100.000 US-Dollar.

Das FBI kam Josh Holly, 21, auf die Spur, als dieser intime Fotos von der damals 15-jährigen
Miley Cyrus im Internet verbreitete. Cyrus ist durch ihre Rolle als Hannah Montana
bekannt. Erst versuchte Holly die Fotos, die er in den Mail-Konten fand, an Fotografen
von Promi-News-Webseiten zu verkaufen. Als dies missglückte, verteilte er die Bilder
im Internet. Gegenüber dem amerikanischen Technik-Magazin Wired erklärte der Hacker,
dass er in einem gehackten Admin-Panel von MySpace ein einfaches Textdokument mit
Passwörtern fand. Anschließend probierte er das Cyrus-MySpace-Passwort bei einem ihrer
verwendeten Googlemail-Konten erfolgreich aus.

Bei einer Hausdurchsuchung in Tennessee fanden FBI-Beamte auf seinem Computer, die
notwendigen Hinweise und 200 Kreditkartennummern, die für Betrugsfälle verwendet wurden.

Holly wurde aufgrund der Kreditkarten-Diebstähle angeklagt und nicht wegen der Verbreitung
der Fotos. Ihn erwarten eine Freiheitsstrafe von maximal 13 Jahren und eine Geldstrafe
in Höhe von 500.000 US-Dollar.

Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können – und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.
Foto: Group-IB
Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.
Foto: Twitter
FBI’s most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.
Foto: Department of Justice
Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Foto: Department of Justice

Hacker-Angriffe auf Server und Redseligkeit

Hacker-Fiasko 3: DoS-Attacke auf Spieleserver

Der Hacker: ein nicht namentlich erwähnter 17-jähriger aus Manchester, Großbritannien
Die Anklage: Der britische Teenager wird beschuldigt “Call of Duty”-Server mit Denial of Services
(DoS) attackiert zu haben. Das hierzu verwendete Tool “Phenom Booter” bot er zudem in
einem Internet-Forum zum Verkauf an.

Der Jugendliche soll die Server von Activision, auf denen das Spiel “Call of Duty”
gehostet wird, mit einem DoS attackiert haben. Hierzu verwendete er angeblich das
Tool “Phenom Booter”, das er in einem Spiele-Forum zum Verkauf anbot. Laut U.K. media
reports wollte der Teenager verhindern, dass andere Spieler ihn von seinem High-Score-Platz
verdrängen. Daher veränderte der Hack nicht die Regeln oder machte den 17-jährigen
im Spiel unverwundbar, sondern führte eine DoS-Attacke aus. Mehrere Stunden waren
die Server überlastet und zahlreiche Spieler konnten ihr Spiel nicht fortsetzen.

Der Jugendliche unterließ es seinen Aufenthaltsort mittels Proxys und andere Umleitungsdienste
zu verschleiern. Deshalb fanden Detektive bald die IP-Adresse des Hackers heraus,
die in den Großraum von Manchester führte.

Dem Jugendlichen droht eine sechsmonatige Freiheitsstrafe oder eine Geldstrafe in
Höhe von mindestens 5.000 Englische Pfund.

Hacker-Fiasko 4: DDoS-Attacke auf Paypal

Die Hacker: Christopher Cooper, 23, Joshua Covelli, 26, Keith Downey, 26, Mercedes Haefer, 20,
Donald Husband, 29, Vincent Kershaw, 27, Ethan Miles, 33, James Murphy, 36, Drew Phillips,
26, Jeffrey Puglisi, 28, Daniel Sullivan, 22, Tracey Valenzuela, 42 Christopher Quang
Vo, 22, und einem ungenannter Mittäter (Anonymous-Aktivisten)

Die Anklage: Verschwörung und Beschädigung eines geschützten Computersystems

Im Dezember 2010 kündigten verschiedene Finanzunternehmen an keine Spendengelder mehr
an WikiLeaks auszuzahlen. Darunter befand sich Paypal. Als das Unternehmen das WikiLeaks-Konto sperrte, riefen Hacker der Anonymous-Gruppe die Internetgemeinde zu einem distributed
denial-of-service (DDoS)-Attacke im Rahmen der “Operation Payback” auf. Hierzu stellten sie das Programm
“Low Orbit Ion Cannon (LOIC)” bereit. Die Angreifer benötigten daher kaum technische
Kenntnisse und waren sich zum größten Teil nicht bewusst, dass sie mit ihrem Angriff
eine Straftat begehen.

Da LOIC die IP-Adresse nicht verschleiert, konnte Paypal eine Liste mit IP-Adressen
der Angreifer zusammenstellen und diese dem FBI aushändigen. Die Beamten nahmen nach
einer Razzia Verdächtige fest. 14 Anonymous-Aktivisten droht für die Verschwörung
eine Gefängnisstrafe von höchstens fünf Jahren und eine Geldstrafe von 250.000 US-Dollar.
Hinzukommt für die Beschädigung eines geschützten Computersystems eine Höchststrafe
von 10 Jahren Haft.

Hacker-Fiasko 5: Hacker diskutieren über eigenen iPad-Hack

Die Hacker: Andrew Aurenheimer und Daniel Spitler
Die Anklage: Hacken der AT&T-Datenbank und die Weitergabe von über tausend E-Mail-Adressen von
iPad-Usern

Andrew Aurenheimer und Daniel Spitler fanden auf der Webseite von AT&T ein öffentliches
Skript, mit dem die Integrated Circuit Card Identifier (ICCID) erfasst wurden. Bei
der ICCID handelt es sich um die Seriennummer der SIM-Karte. Die beiden Hacker, auch
unter dem Namen “Goatse Security” bekannt, entwickelten das Skript “iPad 3G Acount
Slurper”. Mithilfe des Skripts konnten sie überprüfen, ob wahllos generierte Seriennummern
existierten und mit welcher E-Mail-Adresse diese verknüpft waren.

“Goatse Security” sammelte so über 100.000 E-Mail-Adressen. Darunter befanden sich
die Adressen vom New Yorker Bürgermeister Michael Bloomberg und dem früheren Stabschef
des Weißen Hauses Rahm Emanuel. Die Adressen sollen die Hacker dem Multikonzern News
Corp. sowie dem Mediakonzern Thomson Reuters zum Kauf angeboten haben. Einen kleinen
Teil der gestohlenen Informationen veröffentlichte die Tageszeitung Gawker.

Anschließend wurde der Druck nach einer raschen Aufklärung des Vorfalls stärker. Die
Kriminellen diskutierten per E-Mails und Chats über die Tat und ihre Verstrickung
hierin. Dies wurde Aurenheimer und Spitler zum Verhängnis.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Foto: Bär/Schlede
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach
im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Foto: Bär/Schlede
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Foto: Bär/Schlede
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Foto: Bär/Schlede
Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Foto: Bär/Schlede
Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Foto: Bär/Schlede
Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Foto: Bär/Schlede
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung
zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Foto: Bär/Schlede
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen
von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Foto: Bär/Schlede
Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Foto: Bär/Schlede
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen
auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Foto: Bär/Schlede
Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Foto: Bär/Schlede

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation
PC-Welt. (sjf)

 Autor(en): JR RaphaelSchweigen ist Gold. Gerade in Hackerkreisen sollte man sich das zu Herzen nehmen.
Wir zeigen Hacks, die so richtig schief gingen.

Die Top 5 der Hacker-Pleiten.
Foto: Fotolia/Iosif Szasz-Fabian

Auch Hacker sind hin und wieder dümmer als die Polizei erlaubt. Sie brechen in Systeme ein, hinterlassen
dabei eindeutige Spuren und prahlen mit ihren Taten. Unsere Schwesterpublikation PC World hat eine Hacker-Hall of Shame mit den fünf dümmsten Hackern zusammengestellt.
Hacker-Fiasko 1: Einbruch beim FBI getwittert

Der Hacker: Scott Matthew Arciszewski
Die Anklage: Scott Matthew Arciszewski wird vorgeworfen, illegal Dateien von der Tampa Bay InfraGard-Webseite
beschafft zu haben – ein Programm des FBI zur Prävention von Cyberkriminalität.
Im Juni 2011 bekannte sich LulzSec, eine Hacker-Vereinigung, die Seite von InfraGard gehackt zu haben – ein Programm
des FBI zur Prävention von Cyberkriminalität. Anstoß sei die aktuelle Gesetzesgrundlage
zu Cyber-Straffälligkeiten gewesen. Einen knappen Monat später hackte sich der 21-jährige
Scott Matthew Arciszewski in die Tampa Bay Website ein und lud drei Dateien herunter,
um diese an anderer Stelle zu veröffentlichen. Der Student mit Hauptfach Computertechnik
an der University of Central Florida prahlte anschließend mit seinem Einbruch mittels
Twitter und teilte auch gleich den Link zu den Informationen mit.
Arciszweski twitterte mehrmals sein Vergehen, auch an die formelle Pressestelle des
FBIs. Die Beamten glichen die IP-Adresse des Hacks mit denen des Twitterers ab, fanden
den echten Namen des Studenten heraus und überprüften verschiedene Fotos. Anschließend
verhafteten sie ihn in seinem Zimmer des Studentenwohnheims.
Hacker-Fiasko 2: Intime Miley-Cyrus-Bilder und Kreditkarteninformationen

Der Hacker: Josh Holly
Die Anklage: Josh Holly wird beschuldigt 200 gestohlene Kreditkarteninformationen zu besitzen
und Gmail- und MySpace-Accounts gehackt zu haben. Die Konten – auch von Prominenten
– sollen für den Versand von Spam-E-Mails missbraucht worden sein. Die Betrugshöhe
beträgt 100.000 US-Dollar.
Das FBI kam Josh Holly, 21, auf die Spur, als dieser intime Fotos von der damals 15-jährigen
Miley Cyrus im Internet verbreitete. Cyrus ist durch ihre Rolle als Hannah Montana
bekannt. Erst versuchte Holly die Fotos, die er in den Mail-Konten fand, an Fotografen
von Promi-News-Webseiten zu verkaufen. Als dies missglückte, verteilte er die Bilder
im Internet. Gegenüber dem amerikanischen Technik-Magazin Wired erklärte der Hacker,
dass er in einem gehackten Admin-Panel von MySpace ein einfaches Textdokument mit
Passwörtern fand. Anschließend probierte er das Cyrus-MySpace-Passwort bei einem ihrer
verwendeten Googlemail-Konten erfolgreich aus.
Bei einer Hausdurchsuchung in Tennessee fanden FBI-Beamte auf seinem Computer, die
notwendigen Hinweise und 200 Kreditkartennummern, die für Betrugsfälle verwendet wurden.

Holly wurde aufgrund der Kreditkarten-Diebstähle angeklagt und nicht wegen der Verbreitung
der Fotos. Ihn erwarten eine Freiheitsstrafe von maximal 13 Jahren und eine Geldstrafe
in Höhe von 500.000 US-Dollar.

Der Vater des Blackholing
Der auch als „Paunch“ bekannte Dmitry Fedotov ist weniger als Hacker, denn als Entwickler des Hacker-Tools Blackhole berühmt. Bei Blackhole handelt es sich um eine Art Webanwendung für die Verbreitung von Malware- und Spyware, die Hacker gegen eine Abo-Gebühr von 1500 US-Dollar pro Jahre mieten können – und bis zur Festnahme laufend mit Updates über neue Schwachstellen von Java, Flash oder des Internet Explorer aktualisiert wurde. Der im Oktober 2012 von den russischen Behörden verhaftete Programmierer aus Togliatti soll auch Autor des Cool Exploit-Kits und von Crypt.AM sein.
Foto: Group-IB

Der Herrscher der Kreditkarten
Der Juni 2012 in den Niederlanden zusammen mit Vladimir Drinkman verhaftete russische Hacker soll laut Anklageschrift von August 2005 bis Juli 2012 als Mitglied einer Gruppe von fünf Cyberkriminellen im Laufe der Jahre riesige Mengen an Kreditkartendaten gestohlen haben. Zusammen mit Aleksandr Kalinin, Roman Kotov, Mikhail Rytikov und Vladimir Drinkman soll Smilianets vor allem durch SQL Injection Hacks Firmen wie Nasdaq, 7-Eleven Carrefour und J.C. Penny gehackt haben. Insgesamt 160 Millionen Kreditkarten- und Guthabendaten wurden gestohlen und für Finanzbetrug benutzt. Der Schaden für die Firmen soll bei 300 Millionen US-Dollar liegen. Der Prozess in den USA ist noch nicht abgeschlossen.
Foto: Twitter

FBI’s most wanted
Evgniy Mikhailovich Bogachev, auch bekannt als lucky12345 und slavik schaffte es 2014 auf den ersten Platz der so genannte „Cyber Most Wanted“-Liste des FBI. Die amerikanischen Behören sehen in ihm den Hintermann des Botnetzes „Gameover Zeus“. Mit Hilfe der gleichnamigen Malware soll er für ein Botnetz von bis zu einer Million Computern verantwortlich sein, das zum Ausspähen von Bank-Passwörtern und Verbreiten von Malware benutzt wurde. Der Schaden betrage etwa hundert Millionen US-Dollar betragen. Bogachev hält sich nach Vermutungen der amerikanischen Behörden in Russland auf.
Foto: Department of Justice

Der Phishing-Experte
Der Lette Alexey Belan soll zwischen Januar 2012 und April 2013 die Nutzerdaten von einigen Millionen Kunden dreier US-Unternehmen gestohlen haben. Er ist auf der Liste der meistgesuchten Hacker des FBI, der Name der geschädigten Unternehmen ist aber ebenso wenig bekannt, wie die Höhe des Schadens. Es soll sich um drei nicht genannte E-Commerce-Unternehmen aus Nevada und Kalifornien handeln. Da die Belohnung 100.000 US-Dollar beträgt, sollte der Schaden beträchtlich sein.
Foto: Department of Justice

Hacker-Angriffe auf Server und Redseligkeit
Hacker-Fiasko 3: DoS-Attacke auf Spieleserver

Der Hacker: ein nicht namentlich erwähnter 17-jähriger aus Manchester, Großbritannien
Die Anklage: Der britische Teenager wird beschuldigt “Call of Duty”-Server mit Denial of Services
(DoS) attackiert zu haben. Das hierzu verwendete Tool “Phenom Booter” bot er zudem in
einem Internet-Forum zum Verkauf an.
Der Jugendliche soll die Server von Activision, auf denen das Spiel “Call of Duty”
gehostet wird, mit einem DoS attackiert haben. Hierzu verwendete er angeblich das
Tool “Phenom Booter”, das er in einem Spiele-Forum zum Verkauf anbot. Laut U.K. media
reports wollte der Teenager verhindern, dass andere Spieler ihn von seinem High-Score-Platz
verdrängen. Daher veränderte der Hack nicht die Regeln oder machte den 17-jährigen
im Spiel unverwundbar, sondern führte eine DoS-Attacke aus. Mehrere Stunden waren
die Server überlastet und zahlreiche Spieler konnten ihr Spiel nicht fortsetzen.
Der Jugendliche unterließ es seinen Aufenthaltsort mittels Proxys und andere Umleitungsdienste
zu verschleiern. Deshalb fanden Detektive bald die IP-Adresse des Hackers heraus,
die in den Großraum von Manchester führte.
Dem Jugendlichen droht eine sechsmonatige Freiheitsstrafe oder eine Geldstrafe in
Höhe von mindestens 5.000 Englische Pfund.
Hacker-Fiasko 4: DDoS-Attacke auf Paypal

Die Hacker: Christopher Cooper, 23, Joshua Covelli, 26, Keith Downey, 26, Mercedes Haefer, 20,
Donald Husband, 29, Vincent Kershaw, 27, Ethan Miles, 33, James Murphy, 36, Drew Phillips,
26, Jeffrey Puglisi, 28, Daniel Sullivan, 22, Tracey Valenzuela, 42 Christopher Quang
Vo, 22, und einem ungenannter Mittäter (Anonymous-Aktivisten)

Die Anklage: Verschwörung und Beschädigung eines geschützten Computersystems
Im Dezember 2010 kündigten verschiedene Finanzunternehmen an keine Spendengelder mehr
an WikiLeaks auszuzahlen. Darunter befand sich Paypal. Als das Unternehmen das WikiLeaks-Konto sperrte, riefen Hacker der Anonymous-Gruppe die Internetgemeinde zu einem distributed
denial-of-service (DDoS)-Attacke im Rahmen der “Operation Payback” auf. Hierzu stellten sie das Programm
“Low Orbit Ion Cannon (LOIC)” bereit. Die Angreifer benötigten daher kaum technische
Kenntnisse und waren sich zum größten Teil nicht bewusst, dass sie mit ihrem Angriff
eine Straftat begehen.
Da LOIC die IP-Adresse nicht verschleiert, konnte Paypal eine Liste mit IP-Adressen
der Angreifer zusammenstellen und diese dem FBI aushändigen. Die Beamten nahmen nach
einer Razzia Verdächtige fest. 14 Anonymous-Aktivisten droht für die Verschwörung
eine Gefängnisstrafe von höchstens fünf Jahren und eine Geldstrafe von 250.000 US-Dollar.
Hinzukommt für die Beschädigung eines geschützten Computersystems eine Höchststrafe
von 10 Jahren Haft.
Hacker-Fiasko 5: Hacker diskutieren über eigenen iPad-Hack

Die Hacker: Andrew Aurenheimer und Daniel Spitler
Die Anklage: Hacken der AT&T-Datenbank und die Weitergabe von über tausend E-Mail-Adressen von
iPad-Usern
Andrew Aurenheimer und Daniel Spitler fanden auf der Webseite von AT&T ein öffentliches
Skript, mit dem die Integrated Circuit Card Identifier (ICCID) erfasst wurden. Bei
der ICCID handelt es sich um die Seriennummer der SIM-Karte. Die beiden Hacker, auch
unter dem Namen “Goatse Security” bekannt, entwickelten das Skript “iPad 3G Acount
Slurper”. Mithilfe des Skripts konnten sie überprüfen, ob wahllos generierte Seriennummern
existierten und mit welcher E-Mail-Adresse diese verknüpft waren.
“Goatse Security” sammelte so über 100.000 E-Mail-Adressen. Darunter befanden sich
die Adressen vom New Yorker Bürgermeister Michael Bloomberg und dem früheren Stabschef
des Weißen Hauses Rahm Emanuel. Die Adressen sollen die Hacker dem Multikonzern News
Corp. sowie dem Mediakonzern Thomson Reuters zum Kauf angeboten haben. Einen kleinen
Teil der gestohlenen Informationen veröffentlichte die Tageszeitung Gawker.
Anschließend wurde der Druck nach einer raschen Aufklärung des Vorfalls stärker. Die
Kriminellen diskutierten per E-Mails und Chats über die Tat und ihre Verstrickung
hierin. Dies wurde Aurenheimer und Spitler zum Verhängnis.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Foto: Bär/Schlede

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach
im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Foto: Bär/Schlede

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Foto: Bär/Schlede

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Foto: Bär/Schlede

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Foto: Bär/Schlede

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Foto: Bär/Schlede

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Foto: Bär/Schlede

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung
zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Foto: Bär/Schlede

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen
von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Foto: Bär/Schlede

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Foto: Bär/Schlede

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen
auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Foto: Bär/Schlede

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Foto: Bär/Schlede

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation
PC-Welt. (sjf)