Warum werden PCs gehackt?

Eine häufig anzutreffende Einstellung zum Schutz des eigenen Rechners lautet: “Ich habe doch keine wertvollen Informationen, daher brauche ich meinen Rechner nicht zu schützen.”

Diesen auf den ersten Blick einmal nachvollziehbaren Standpunkt zu entkräften wird sehr leicht, wenn man untersucht, worin der Wert eines gehackten PCs für den Hacker liegt. Ausgangspunkt einer ersten Wertbetrachtung ist die Ãœberlegung, dass der übernommene Rechner Zugang zum Internet hat und von dem rechtmäßigen Benutzer regelmäßig für allerlei Aktivitäten im Internet genutzt wird – sonst wäre der Internetzugang unsinnig

Verbreitung illegaler Inhalte

Jeder Rechner, der einen Internetzugang hat, kann nicht allein Daten aus dem Internet abrufen, sondern auch Daten zum Abruf aus dem Internet bereitstellen – der klassische Web-Server sei hier als Beispiel genannt. Für einen Hacker, der fremde Rechner kontrolliert, gibt es damit die Möglichkeit illegale Inhalte (Raubkopien, sexuell anrüchiges oder gar verbotenes Material etc.) zu verbreiten bzw. zu vertreiben, ohne selbst als Verursacher identifiziert werden zu können. Sämtliche Ermittlungen “enden” bei dem Besitzer des ungeschützten Rechners …

Selbstverständlich muss die Verteilung nicht zwangsläufig als Web-Server umgesetzt werden, File-Sharing, FTP-Downloadsites oder sonstige File oder Datenservices sind je nach Anwendungsszenario von dem Hacker einzurichten.

Geld verdienen

Geld verdienen kann der Hacker ganz profan durch den Verkauf der illegalen Inhalte, die auf diese Weise nicht zu Ihm zurück verfolgt werden können, oder, wenn er sich diesen “Vertrieb” nicht antun möchte, über die “Vermietung” oder den “Verkauf” des gehackten Rechners an einen Anbieter illegaler Inhalte. Der Preis einer solchen “Vertriebsplattform” dürfte z.B. von der üblichen Onlinezeit des Rechners und der Bandbreite der Internetanbindung abhängen.

Schaden

Der Schaden für den rechtmäßigen Besitzer des Rechners entsteht insbesondere durch die “Unannehmlichkeiten”, die bei Schadensanzeigen durch Dritte und der Strafverfolgung durch die Behörden erwachsen. Neben der zu erwartenden Beschlagnahme des Rechners und einer möglichen Durchsuchung der eigenen Wohnung bzw. des Arbeitsplatzes gibt es jede Menge Aufwand, sich durch teure Juristen und Sachverständige von dem Verdacht der Verbreitung illegaler Inhalte wieder rein zu waschen – sofern dies überhaupt möglich ist. In jedem Fall sind  Ärger und Streß, selbstverständlich auch die Kosten, deutlich höher als der Preis für einen sachgemäßen Schutz des Rechners, der selbst dann, wenn z.B. aufgrund von Fehlkonfiguration trotzdem ein Mißbrauch stattfinden sollte, dem geschädigten Besitzer des Rechners vor Gericht bessere Karten in die Hand gibt …

Auch wenn diese “Nutzung” des gehackten Rechners m.E. einen beträchtlichen Wert für den Hacker bzw. den neuen Nutzer des Rechners, der die Kontrolle des Rechners vom Hacker erworben hat, darstellt, handelt es sich bei weitem nicht um das einzige Szenario mit dem ein Hacker  reichlich Geld (der Skalenfaktor durch die große Zahl automatisch kompromittierter Rechner bringt den Umsatz, der hier da illegal mehr oder weniger mit dem Gewinn gleichgesetzt werden kann) verdienen kann.

Hackerangriffe / Spionagenetzwerk

Mit “Ghostnet” ist ein riesiges Spionagenetzwerk entdeckt worden, das scheinbar gezielt eine Vielzahl von Rechnern, die sich in Ministerien, Botschaften, internationalen Institutionen etc. befinden, kompromittiert hat.

Aus Sicht des IT-Sicherheitseinsteigers ist insbesondere die jetzt anhand von Belegen nachvollziehbare Erkenntnis wertvoll, dass es sich bei derartigen Angriffsszenarien offensichtlich nicht um irgendwelche Hirngespinste von paranoiden Sicherheitsfreaks handelt, sondern um ein nicht unübliches Vorgehen krimineller? Organisationenen. Für den großen Maßstab solcher Computerübernahmen spricht zum einen, dass es sich um ein komplettes, automatisiertes Spionagenetzwerk handelt, und zum anderen, dass gezielt Rechner übernommen werden konnten.

Eingeleitet wurde die Übernahme der Zielrechner unter anderem durch, wie könnte es anders sein, Email-Anhänge oder in Emails verschickten Links zu Schadsoftware, die die Fernsteuerung des Rechners ermöglichte.

Nicht verwunderlich ist die Nutzung der übernommenen Rechner zur Raumüberwachung bei installierten Audio (Mikrofon) und Video (Kamera) Komponenten – auch wenn das Hauptaugenmerk sicher auf dem Durchsuchen des Rechners (Dateisystem) und dem “Abhören” des e-Mail-Verkehrs liegen dürfte.

Auch wenn es auf den ersten Blick erstaunlich erscheint, dass eine so große Zahl von Rechnern in sicherheitskritischen Umgebungen (die Presse spricht von ca. 1300 komprimitierten Systemen weltweit),  ist dies durchaus nachvollziehbar, wenn man sich überlegt, wie schwer es ist, sich wirkungsvoll gegen diese Art von Angriff zu schützen. Geht man davon aus, dass es sich bei der den entsprechenden Stellen untergejubelten Schadsoftware um spezifische Sonderanpassungen handelt, greift schon einmal kein Virenscanner, da diesem die notwendigen Erkennungsmuster fehlen. Berücksichtigt man dazu noch, dass in vielen Fällen die Nutzer, die auf einen solchen perfiden Link klicken entweder unabsichtlich die Infektion ihres Computers zulassen, weil sie mit einem User-Account arbeiten, der die Installation von Software erlaubt, oder absichtlich die Installation erlauben, da sie der Meinung sind, ein “sinnvolles” Programm zu installieren (Stichwort Trojaner), wundert es eher, dass nicht noch viel mehr Rechner auf diese Weise kompromittiert wurden.