Anonymous, Lulzsec & Co

Es erfordert eine Menge Know-how und Ressourcen um sich erfolgreich gegen gezielte und hochqualifizierte Attacken zu wehren , und selbst dann ist immer noch mit einem verbleibenden Restrisiko zu rechnen.

Jeder Angriff ist einer gewissen Ökonomie unterworfen und praktisch wird ein Angreifer nicht unbegrenzt Zeit und Ressourcen in die Schlacht werfen. Entscheidend für eine mögliche Zielselektion ist vor allem auch das Motiv der Angreifer. Staatliche Hacker, egal ob Nachrichtendienste, Militärs oder "digital blackwater", also "private Hacker im staatlichen Auftrag", verfolgen im Regelfall andere Ziele als Hacker, die ihren Antrieb aus "hacktivsm"

http://de.wikipedia.org/wiki/Hacktivist oder anderen Motiven schöpfen. Nachstehende Zeilen mögen als Hilfestellung für Interessierte bzw. Betroffene dienen, erheben aber keinesfalls Anspruch auf Vollständigkeit und ersetzen keinesfalls weitere bzw. umfassenderer Sicherheitsma'dfnahmen.

Wen kann es treffen? 

Grundsätzliche jede Person oder Organisation, die über einen Internetauftritt verfügt. Politisch motivierte Hackernetzwerke greifen zwar primär z.B. Parteien oder Interessensvertretungen an. Steht man jedoch z.B. in einer  geschäftlichen Beziehung zu einer als '82feindlich'91 eingestuften Organisation kann man ebenfalls ins Fadenkreuz geraten. 

Cyberkriminelle, die aus finanziellem Interesse handeln bedrohen tatsächlich jeden, da es darum geht Daten des Opfers zu Geld zu machen. Dies können gestohlene E-Mails für Spamkampagnen oder z.B. Finanzdaten sein. Oft werden Sicherheitslücken in Web Content Management Systemen (CMS) für einen Angriff ausgenutzt. Attacken beschränken sich jedoch keineswegs ausschlie'dflich nur auf CMS.

Prävention: Welche Maßnahmen kann/muss ich ergreifen?

Für neue Systeme:

  • Bedarfsmanagement
  • Erstellung eines Lastenhefts, das definiert:
    • Welchen Sicherheitsanforderungen müssen das CMS und die Applikationen erfüllen?
    • Festlegen eines Security Management Prozesses.

Absicherung der Webserver und Datenbankserver Kommunikation

Definieren von Richtlinien zur Patch-Policy: Securityupdates sind vor allem bei extern verfügbaren Systemen so gut wie möglich auf Neuesstand zu halten , dies gilt für Applikationen und die eingesetzten Betriebssysteme.

Der Datenbankzugriff durch Web-Applikationen soll möglichst restriktiv sein , so können HTTP-Requests z.B. über Apache oder eine Application-Firewall so eingeschränkt werden, dass  z.B. nur "POST" oder "GET" Anfragen erlaubt sind.

Ein zweistufiges Konzept mit eigener Webservice-Schnittstelle für die Datenbank erhöht die Sicherheit.

Sicherheitsrichtlinien für Zugriffe auf das Webservice selbst

Der Zugriff auf Administrations-Interfaces soll so eingeschränkt werden, dass dieses nicht aus dem ganzen Internet erreichbar ist (z.B. durch Access Control Lists).

Auslagerung des Administrations-Interfaces auf rein intern verfügbare Schnittstellen.

Auditierung durch entsprechende Spezialisten

Eventuelle Prüfung der Webapplikation durch Code-Review.

Prävention von XSS (cross site scripting), SQL Injections und weiteren Bedrohungsszenarien durch Einsatz von zertifizierter Hardware

Wenn es nicht möglich ist, die Sicherheit der Applikation selbst zu erhöhen, kann man z.B. Hardware-Appliances oder Application-Firewalls einsetzen. Diese erhöhen die Sicherheit, können jedoch keine umfassende Sicherheitsrichtlinien ersetzen. Hardware-Appliances arbeiten oft unter Beachtung der OWASP top-10 Bedrohungen https://www.owasp.org/. Auch eine Protokollvalidierung (HTTP) zählt mitunter zu den Features dieser Hardware-Appliances.

Kritische Systeme sollten vor dem produktiven Einsatz einem Sicherheits-Audit durch Spezialisten unterzogen werden.

Welche Ansätze erhöhen die Sicherheit meines Web Content Management Systems?

Unter Linux kann die Apache Web-Server Sicherheit mit mod_security erhöht werden

Passwörter sollen verschlüsselt in der Datenbank gespeichert werden.

Anwendungen sollen den Benutzer dabei unterstützen, sichere Passwörter zu wählen, in dem     z.B. eine Mindestanzahl der Zeichen inklusive Ziffern verlangt wird ("1234" ist kein gültiges Passwort).

Schon bei der Auswahl des CMS soll darauf geachtet werden, welches Sicherheitskonzept der Software zugrunde liegt (so hat z.B. "Plone" rollenbasierte Security-Mechanismen und unterstützt OpenID).

Berücksichtigung von Sicherheitsfragen bei der Auswahl der Datenbanktechnologie (z.B. PostgreSql ist konzeptionell weniger SQL-Injection anfällig als MySQL oder MS SQL).

Halten Sie Ihre CMS Version am aktuellen Stand.

Zusätzlich:

Fallweise senden Hackergruppen Warnungen, bevor Angriffe durchgeführt werden. 'dcberprüfen Sie daher regelmä'dfig Nachrichten, die an "öffentliche" E-Mail Adressen ihrer Organisation geschickt werden. Vermeiden Sie "unbeachtete" E-Mail-Accounts.

Verfolgen Sie öffentliche Mitteilungen von Hacker-Gruppen, z.B. über Twitter.

Schadensbegrenzung: Was tun im "Angriffsfall"?

Wie erkenne ich einen Angriff/Hack?

Politisch motivierte Angriffe streben in der Regel nach grö'dftmöglicher Aufmerksamkeit und sind daher leicht zu erkennen (Defacement, DoS). Schwieriger ist es, wenn der Täter sich bewusst versteckt. Da Angreifer aber bei Ihrer Suche nach Sicherheitslücken spezielle Serveranfragen abschicken, die sich von regulären Serveranfragen unterscheiden, kann ein Angriffsversuch durch entsprechende Filterung der Server- und Firewall-Logdateien erkannt werden. Intrusion Detection Systeme warnen frühzeitig über einen Angriffsversuch.

Schwachstellen können dazu verwendet werden, sogenannte Exploit-Kits auf dem Server zu installieren, wodurch sich Besucher der Webseite mit Malware infizieren können. Auf der einen Seite wollen die Angreifer möglichst viele Computer infizieren, auf der anderen Seite soll das Exploit-Kit solange wie möglich unentdeckt bleiben. 

Wie verhalte ich mich? Wie kommuniziere ich?

Beachten sie im Fall eines Hacks vor allem auch die Kommunikationskanäle/Medien die von den Hackern selbst genutzt werden.

Stoppen und Abschotten eventuell infizierter Systeme, um weitere ungewünschte Datenübertragung zu verhindern. Ruhe bewahren.  

Sicherung des vorhandenen Infektionsstatus. Dazu zählen:

  • Webinhalte
  • Logfiles von Webserver und Betriebssystem
  • Firewallzugriffslogs und
  • Datenbanklogs

Erstellen einer genauen Analyse über eventuell unrechtmäßig kopierte Daten um einen Überblick über das Ausmaß der Attacke zu bekommen.

Setzen eines Maßnahmenkatalogs um ein erneutes Auftreten einer Attacke vermeiden zu können

Krisenkommunikation: Diese sollte offensiv erfolgen, vor allem wenn Kundendaten oder Daten Dritter vom Zwischenfall betroffen sind. Achten sie dabei aber darauf, dass nur gesicherte Informationen veröffentlicht werden

Via Twitter können betroffene unter Umständen direkt mit den Angreifern Kontakt aufnehmen oder gar kommunizieren , es gibt auch eine Reihe anderer Möglichkeiten sich über mögliche Beweggründe der Angreifer zu informieren. Z.B. (keinerlei Anspruch auf Vollständigkeit)

https://twitter.com/#!/AnonAustria

http://anonnews.org/

Wo finde ich als Betroffener Hilfe?

http://cert.atCERT.at ist das österreichische nationale CERT (Computer Emergency Response Team)

http://www.cybersecurityaustria.at  Die Experten bei CSA können im Regelfall schnell, unkompliziert und kostenlos Tips und Tricks für Erste Maßnahmen geben.