Laut einer neuen
Studie der Universität von Maryland wird jeder Computer im Internet im Durchschnitt alle 39 Sekunden attackiert. In der Zwischenzeit kann man noch nicht mal in Ruhe einen Kaffee trinken gehen.
Beim Clark School Center for Risk and Reliability and Institute for Systems Research ging man bei der Untersuchung von Hackangriffen anders als üblich ans Werk. Die Menge der Angriffe und entsprechende Trends sollten erhoben werden, so Professor Michel Cukier, der die Untersuchung leitete. Er und sein Team untersuchte wie Brute-Force-Attacken vor sich gehen und nach was die Hacker Ausschau halten. Auch wollte man wissen: Unter welchen Voraussetzungen wird der Hack wahrscheinlicher beziehungsweise schwieriger in seiner Durchführung?
Um dies zu untersuchen setzten sie im November und Dezember 2006 bei Computern Linux als OS auf und versahen sie mit schwachen Passwörtern. Danach musste man nur kurz warten und über 24 Stunden am Tag mitschneiden, was genau passiert.
"Es gab 269.262 Angriffe und 824 waren von Erfolg gekrönt. Diese erhielten den Usernamen und das Passwort. Wir waren hinter spezifischen Daten her und analysierten z.B. wie oft ein Angreifer die Konfiguration der Software oder Hardware überprüfte. Wer einmal verstanden hat was ein Hacker tut, kann Sicherheitsadministratoren helfen bessere Systeme aufzusetzen."
Die Linux-Geräte wurden durchschnittlich 2.244 Mal pro Tag angegriffen. Die Attacken kamen von 229 unterschiedlichen IP-Adressen. Man hatte wegen der leicht zu erahnenden Passwörter schon mit viel Traffic gerechnet, nicht aber mit so unglaublich viel. Die meisten virtuellen Einbrecher benutzten so genannte Wörterbuch-Scripts, um den Usernamen und das Passwort zu ergattern. Root wurde am häufigsten versucht, zwölfmal so oft wie admin, was sehr häufig als Passwort probiert wurde. Ansonsten versuchten es die Hacker bzw. deren Scripts mit Begriffen wie test, guest, info, adm, user, mysql, oracle, administrator etc. Für die Passwörter wurde der Username mit einer Zahl leicht abgewandelt. Also bei Username guest das pw guest01, guest02 etc.
Hinter den meisten Angriffen steckten die Betreiber von Botnets, die mit ihren Aktionen neue Zombies zu rekrutieren versuchten. In den meisten Fällen checkte der Angreifer die Software Konfiguration, änderte das Passwort, checkte die Konfiguration der Software und Hardware erneut, machte den Upload des eigenen Programms und startete es um den gekaperten Rechner in die Armee der Botnet Zombies einzureihen. Den Angreifern ging es trotz des weniger interessanten Inhalts und des geringen Webspaces der angegriffenen Website mehr um eine potentiell schnelle Anbindung im Netz als speziell um darum, die Uni selber zu hacken. Das scheint gut ins übliche Konzept der Botnet-Operator zu passen.
"Die schlechten Jungs versuchen es mit den tief hängenden Früchten zuerst. Anstatt tiefer zu recherchieren oder abgefahrene Dinge auszuprobieren, nimmt man sich die offensichtlichen Schwachstellen vor, die einem einen schnellen Zugang versprechen."
Das ganze scheint System zu haben und wird professionell betrieben, um neue Bots aus der Taufe zu heben. Aktuell hat man für die IEEE (International Conference on Dependable Systems and Networks) eine Ausarbeitung über die provozierten Hacks zusammengestellt. Als nächstes planen die Macher der Untersuchung die Installation von Unix und Windows-Maschinen, um vergleichbare Tests durchzuführen. Einfach zu hackende Passwörter sind in jedem Fall im Zenith des Interesses der bad guys. Professor Cukier über einfach zu erahnende Passwörter:
"Wenn Sie daran nichts ändern, gehen Sie (bzw. der Server ihrer Website) ein hohes Risiko ein, auch Opfer einer solchen Attacke zu werden."