Für Kriminelle, 'Hacktivists' und 'script kiddies' sind die einfachen Ziele lukrativ, da diese Angreifer in der Regel wenig Aufwand für eine Attacke betreiben.
Im 'kollateralen Ziel' können sich Unternehmen als Beifang im Netz von professionellen Cyber-Angreifern, wie Erpresser oder staatliche Hacker verfangen. Es gibt also Kriminelle, 'Hacktivists' und 'script kiddies' sowie Staaten oder Wettbewerber. Allen gemeinsam ist, dass sie Zeit zur Informationssammlung und die Wahl des richtigen Werkzeuges haben.
Wieso Werkzeuge? Muss denn ein Hacker nicht selbst programmieren können? Nein! Ihre Vorgangsweisen sind:
1. Informationen sammeln: Mit den Suchmaschinen Google, Shodan, Censys oder auch zoomeye (für Kenner der asiatischen Schriftzeichen) können wir bereits auf fertige Daten zugreifen. Goggeln Sie mal „GoogleHackMasterList.txt“ oder sehen Sie was angezeigt wird , wenn Sie bei shodan den Hersteller ihrer Automatisierung oder SPS eingegeben!
2. Systeme ausspähen und „übernehmen“: mit Metasploit (gestartet in 2003 als Open-Source-Projekt mit gerade mal elf Exploit-Codes) wächst jedoch ständig durch die Arbeit von Sicherheitsforschern. Aktuell stehen Exploits (rund 1500), Auxiliaries (rund 950) und Payloads (gut 400) zur Verfügung. Ein Exploit nutzt eine Schwachstelle aus, mit Auxiliary-Modulen werden Informationen zum Zielsystem eingeholt und Payloads beinhalten den eigentlichen Schadcode. Vieles bereits fix und fertig.
3. Vieles ausprobiert oder alles in Einem: das Kali Linux: im März 2013 wurde die erste Distribution hierzu veröffentlicht. Bereits zuvor gab es verschiedenste Sammlungen und Distribution von Werkzeugen, z.B. Die Auditor Security Collection, Whoppix/Whax oder BackTrack.
Ziel ist sowohl die Überprüfung der Sicherheit von IT-Komponenten in Netzwerken als auch das Sammeln von Informationen für die forensische Analyse angegriffener Systeme.
Alle Erläuterungen dienen ausschließlich der Sensibillisierung und damit zur Verbesserung ihres eigenen Securitymanagements.
Machen Sie es den Angreifern nicht zu einfach.