Sicherheitsverwaltung – Mai 2004 Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? (Teil I)

Veröffentlicht: 07. Mai 2004

Dn151182.9230D1EF63760665512DB73EE0F707A3(de-de,TechNet.10).png

Jesper M. Johansson, Ph.D., CISSP, MCSE, MCP+I

Sicherheitsprogramm-Manager
Microsoft Corporation

Weitere Security Management-Kolumnen (englischsprachig)

Den zweiten Teil dieses Artikels finden Sie hier.

Gehen wir einfach mal davon aus, dass Sie die aktuellen Sicherheits-Patches nicht installiert haben. Und nun wurden Sie das Opfer eines Hackerangriffs. Was können Sie tun?

Säubern eines gefährdeten Systems

Sie haben also die Patches nicht installiert, und nun wurde Ihr System zum Opfer eines Hackerangriffs. Was können Sie tun? Mal sehen:

  • Sie können ein gefährdetes System nicht säubern, indem Sie Patches installieren. Mit einem Patch wird lediglich die jeweilige Sicherheitslücke geschlossen. Wenn ein Angreifer einmal in Ihr System eindringen konnte, hat er sich in diesem Zuge sicherlich schon eine Reihe anderer Wege eröffnet, um sich erneut Zugriff zu verschaffen.
  • Sie können ein gefährdetes System auch nicht säubern, indem Sie die Hintertüren (die so genannten Backdoors) schließen. Die Tatsache, dass Sie keine Hintertüren mehr finden, bedeutet ggf. nur, dass Sie nicht wissen, wo Sie noch suchen müssen oder dass das System bereits so infiltriert ist, dass das, was Sie sehen, gar nicht mehr dem entspricht, was tatsächlich vorgeht.
  • Sie können ein gefährdetes System auch nicht säubern, indem Sie irgendeinen "Schwachstellenentferner" nutzen. Einmal angenommen, Ihr System wurde von Blaster befallen. Zahlreichen Anbieter (u. a. auch Microsoft) haben Tools veröffentlicht, um Blaster abzuwehren. Aber können Sie einem von Blaster befallenen System wirklich wieder vertrauen, nachdem das Tool ausgeführt wurde? Ich täte das nicht. Wenn das System von Blaster befallen wurde, war es auch anfällig für eine Reihe anderer Angriffe. Können Sie garantieren, dass keiner dieser Angriffe erfolgt ist? Wahrscheinlich nicht.
  • Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen. Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf. einfach mit einem Tool, das falsche Tatsachen vorspiegelt. Nur wenn Sie garantieren können, dass das System lediglich von einem bestimmten Virus oder Wurm befallen wurde, nur wenn Sie wissen, dass dieses Virus keine Hintertüren installiert hat, und nur wenn die von dem Virus verwendete Schwachstelle nicht von Remotestandorten aus genutzt werden kann, kann das System mit einem Virenscanner gesäubert werden. Beispielsweise wird ein Großteil der E-Mail-Würmer erst aktiviert, wenn der Benutzer den infizierten Anhang öffnet. In diesem speziellen Fall ist es möglich, dass die Infektion des Systems ausschließlich von dem Anhang verursacht wurde, der den Wurm enthielt. Wenn die von dem Wurm verwendete Schwachstelle allerdings ohne Zutun des Benutzers von einem Remotestandort aus genutzt werden konnte, können Sie nicht garantieren, dass diese nur von diesem speziellen Wurm genutzt wurde. In diesem Fall ist es durchaus möglich, dass die gleiche Schwachstellen bereits von jemand anderem genutzt wurden. Und dies bedeutet, dass es mit dem einfachen Patchen des Systems nicht getan ist.
  • Sie können ein befallenes System auch nicht säubern, indem Sie das Betriebssystem über die vorhandene Installation neu installieren. Denn auch für diesen Fall verfügt der Angreifer höchstwahrscheinlich über Tools, die dem Installationsprogramm unzutreffende Informationen übermitteln. Und wenn dies passiert, kann das Installationsprogramm die befallenen Dateien möglicherweise gar nicht entfernen. Darüber hinaus kann der Angreifer auch Komponenten des Systems mit Hintertüren versehen haben, die nicht zum Betriebssystem gehören.
  • Sie können keinerlei Daten vertrauen, die von einem kompromittierten System kopiert wurden. Nachdem ein Angreifer seinen Weg in das System gefunden hat, können alle hierauf befindlichen Daten geändert worden sein. Im besten Fall erhalten Sie mit dem Kopieren von Daten von einem befallenen System auf ein sauberes System potenziell unzuverlässige Daten. Und im schlimmsten Fall haben Sie eine Hintertür kopiert, die sich in den Daten verborgen hat.
  • Sie können auf einem befallenen System auch kein Vertrauen in die Ereignisprotokolle setzen. Denn nachdem sich der Angreifer Vollzugriff auf ein System verschafft hat, ist es für ihn ein Leichtes, Ereignisprotokolle auf diesem System zu manipulieren, um seine Spuren zu verwischen. Wenn Sie sich auf die Ereignisprotokolle als Informationsquelle für die Vorgänge verlassen, die auf Ihrem System ablaufen, lesen Sie ggf. nur das, was der Angreifer Sie lesen lassen möchte.
  • Sie können noch nicht einmal der neuesten Datensicherung vertrauen. Woher wollen Sie denn wissen, wann der eigentliche Angriff stattgefunden hat? Auf die Stimmigkeit der Ereignisprotokolle können Sie jedenfalls nicht setzen. Und ohne dieses Wissen ist auch die letzte Datensicherung nichts wert. Möglicherweise stammen die Hintertüren, die sich aktuell auf dem System befinden, sogar aus einer Datensicherung.
  • Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren). Alternativ könnten Sie natürlich auch an einer Neuauflage Ihrer Bewerbungsunterlagen arbeiten, aber so weit wollen wir es erst gar nicht kommen lassen, nicht wahr?

Diese Liste hat Sie sicher überzeugt, dass Patches gar nicht so schlecht sind, oder? Möglicherweise finden Sie Patches grässlich, aber die Alternative hierzu ist entschieden schlimmer.

Das Thema des nächsten Artikels wird noch diskutiert. Wenn Sie irgendwelche Vorschläge, Kommentare oder Anmerkungen haben, können Sie wie immer auf den nachstehende Link "Kontakt" klicken und mit mir in Verbindung treten.


Dn151182.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang


Anzeigen: