profile

Michael Mayer

Hacker kennen schwarze Magie und haben einen IQ von 180

Published 5 days ago • 5 min read

Jeder kennt ihn, den freundlichen Hacker aus der Nachbarschaft. Er trägt einen Hoodie, ist die ganze Nacht online, hat Augenringe bis zum Kinn, trinkt nur Clubmate, spricht kaum und sein Laptop ist voller Sticker. Klassisch eben … oder?

Die Illusion

Was uns die Medien und Stockfotos seit Jahrzehnten weismachen wollen, hat mit der Realität nur wenig zu tun. Hollywood hat die hochbegabten Computerflüsterer bis in den Himmel gehoben, damit wir Normalsterblichen sie vergöttern können. Was davon blieb, ist der schlechte Ruf.

Aber nicht alle Hacker sind uns negativ gesinnt. Ein passender Vergleich wären Schlüsseldienste. Du bezahlst sie dafür, dass sie in deine eigene Wohnung einbrechen. Aber worin genau unterscheiden sie sich von echten Einbrechern? Die Fähigkeiten sind gleich und ihr Honorar bekommen beide – direkt oder indirekt. 🤷‍♂️

Der Kult

Hacking als Kult und auch die Kultur drumherum hat in den 60ern mit Phreaking angefangen. Eine Gruppe von Leuten hat mit Audio-Frequenzen rumexperimentiert, um das Telefonsystem zu verstehen und die Technik auszunutzen, zum Beispiel für kostenlose Ferngespräche. Übrigens waren auch die Gründer von Apple, Steve Jobs und Steve Wozniak, dabei. 💡

Im Jahr 1980 kam das erste "Hacker Paper" raus. 1982 kam der Film "Tron" und 1983 "WarGames" in die Kinos. Die haben sich auch schon mit Hacking befasst. Es haben viele kluge und experimentierfreudige Leute dazu beigetragen, dass der Begriff "Hacking" bekannt wurde.

Seit ungefähr 30 Jahren gibt es Security Konferenzen, wo sich Hacker aus aller Welt treffen, um ihre neuesten Erkenntnisse mit ihrer Community zu teilen. Die bekanntesten sind Black Hat, Def Con, BSides und der Chaos Communication Congress. Es gibt kein Tabuthema, alles wird gehackt. Von der zivilen Luftfahrt, über Smart-Meter, bis hin zum eigenen Körper – für einen guten Zweck.

Gut vs Böse

Hacker analysieren im Grunde einfach unbekannte Systeme. Also zum Beispiel Hardware, Software oder auch Prozesse und Firmen. Sie versuchen, diese von außen zu verstehen. Das nennt man Reverse Engineering. Dann experimentieren sie so lange herum, bis sie die Funktionsweise und Mechanismen genau kennen. Oft wissen sie sogar mehr als die Entwickler der Systeme selbst. Dadurch können sie auch Sicherheitsmechanismen umgehen, weil sie direkte Abkürzungen nehmen, die niemals vorgesehen waren. Gute Hacker melden Schwachstellen den Herstellern oder Betreibern. So können die ihre Sicherheit verbessern.

Das Problem ist nur, dass nicht alle Menschen etwas davon haben. Die Telefongesellschaften fanden es damals nicht so cool, dass jeder mit einer "Cap'n Crunch"-Pfeife weltweit gratis Ferngespräche führen konnte. John Draper, das Phishing-Urgestein, wanderte damals dafür sogar ins Gefängnis.
Link: https://de.wikipedia.org/wiki/John_T._Draper

Ethical Hackers, also die Guten, wollen die Sicherheit verbessern. Das Problem ist, dass man "unverschlossene Türen" erst bemerkt, wenn man versucht, sie zu öffnen. Stell dir mal vor, ein Fremder steht bei dir im Vorzimmer, hat die Türklinke in der Hand und sagt: "Ich wollte sicherheitshalber nur prüfen, ob du die Tür auch versperrt hast, dass niemand reinkommt." 😁

Die Betreiber von Online-Plattformen, Webseiten und Diensten sind da auch nicht viel entspannter. Es ist nämlich rechtlich nicht erlaubt, fremde Systeme zu prüfen, ohne dass der Eigentümer das vorher erlaubt hat. In Österreich und Deutschland gibt es so genannte Hacker-Paragrafen. Die stehen auch im Strafgesetzbuch.

Die Mühlen der Behörden mahlen langsam und das Internet ist groß und für viele noch immer Neuland. Wenn ihnen dann mal tatsächlich einer ins Netz geht, dann statuieren sie auch gerne ein Exempel.

In den USA wurden 2019 sogar offiziell beauftragte Penetration-Tester verhaftet und verurteilt. Eine Behörde wurde getestet, aber der Auftraggeber hatte nicht die ausreichende Befugnis, diesen Pentest durchführen zu lassen. Zum Handkuss kam allerdings nicht die Security-Firma, sondern die Penetration-Tester. Die wurden vor Ort von der Polizei verhaftet und hatten ein Strafverfahren am Hals.
Link: https://www.cnbc.com/2019/11/12/iowa-paid-coalfire-to-pen-test-courthouse-then-arrested-employees.html

Entmystifizierung

Kriminelle Hacker sind keine Genies, sondern einfach nur fleißig und geduldig. Sie arbeiten nicht allein, sondern in internationalen Teams. Außerdem sind sie untereinander in der Szene gut vernetzt. Viele von ihnen sind sogar noch minderjährig, was die Verurteilung durch die Behörden natürlich nicht einfacher macht.

In schwach-regulierten Ländern gibt es nicht nur hohe Kriminalitätsraten, sondern auch eine hohe Rate an Online-Kriminalität. Viele junge Leute kommen vom richtigen Weg ab, weil sie keine andere Wahl haben. Sie haben keine Perspektive, keine Jobs und keine Zukunft. Statt mit Drogen zu handeln und ihr Leben zu riskieren, rufen sie lieber irgendwelche Leute an, geben sich als Microsoft Support aus und verdienen so 5-stellige Beträge … in der Woche.

Dabei geht es ihnen nicht um Politik, sondern nur um ihren Profit. Der Markt ist global und die Hürden sind niedrig. Ihre Zielgruppe sind alle, die eine IP-Adresse, E-Mail-Adresse oder ein Online-Profil haben. Die Firmen, von denen man manchmal in den großen Medien hört, sind fast immer riesige Konzerne.

Wenn man sich aber mal die Berichte aus der Security-Branche anschaut, dann sieht man, dass jeden Tag Tausende kleine und mittelständische Unternehmen Opfer von Cyberkriminalität werden. Dahinter steckt kein "Advanced Persistent Threat" der NSA oder eine groß angelegte "Covert Operation" aus Nordkorea.

Nein, diese Firmen werden immer über die gleichen billigen Taschenspieler-Tricks geknackt:

  • Schlechte Passwort-Hygiene (Standardkennwörter, Password-Reuse, etc.)
  • Phishing / Social Engineering
  • Ungesicherte Server direkt im Internet
  • Keine Netzwerk-Segmentierung
  • Veralteten und unverschlüsselte Protokolle
  • Keine Absicherung, nachdem die erste Barriere durchbrochen wurde

Chill Secure mal deine Base, Alter!

Wenn man sich das Ganze mal global ansieht, ist die Vorgehensweise der Hacker eigentlich recht einfach. Sie suchen sich die schwächsten Ziele und die mit den offensichtlichsten Schwachstellen als erstes raus. Und dann kommen die nächst-schwächsten, und so weiter. Sie müssen sich aber auch beeilen, um anderen Hacker-Gruppen zuvorzukommen.

Kriminelle halten sich nicht an Spielregeln. Deine ISO 27001 Zertifizierung und das tolle Compliance-Audit sind ihnen auch egal. Sie nehmen immer den Weg des geringsten Widerstands (kosteneffizient). Statt sich durch deine Next-Gen-Firewall zu hacken, schicken sie deinem Admin einfach eine Phishing-E-Mail. Der gibt ihnen dann direkten Zugriff.

Deshalb empfehle ich wirklich jedem, lieber in eine solide Basis zu investieren als in fancy Tools. AI-Endpoint-Protection und Next-Gen-Firewalls sind echt effektiv und haben ihre Daseinsberechtigung. Aber die funktionieren nur, wenn der Rest des Netzwerks ebenfalls in Ordnung ist.

Ein Fiat Multipla wird nicht automatisch zum Rennwagen, nur weil du einen fetten Heckspoiler montierst. Ja, der Anpressdruck ist deutlich höher und du spürst auch den Unterschied, aber Sieger wirst du damit keiner, maximal der Herzen … aber eher aus Mitleid. 😩

Du musst deine IT auch nicht zu Fort Knox umbauen. Es reicht, wenn sie sicherer als der Durchschnitt ist und du das auch regelmäßig überprüfen lässt. Es geht nicht darum, ob du sicher bist, sondern wie viel Aufwand die Angreifer betreiben müssen und wie hoch ihre Rendite ist. Jede Firma ist ein potenzielles Ziel, egal wie klein sie ist. Selbst der Frisörladen um die Ecke wird von Ransomware befallen und zahlt stillschweigend, wie viele andere auch.

Fazit

Gute Hacker sind sozusagen das Immunsystem des Internets. Sie kümmern sich darum, dass Systeme sicher sind und auch tatsächlich sicher bleiben.

Böse Hacker hingegen wollen einfach nur schnell Geld verdienen. Wenn ihre Chancen, bei dir erfolgreich zu sein, geringer als beim Nächsten sind, dann ziehen sie auch weiter. Das machen sie so lange, bis sie mit allen einfachen Zielen fertig sind. Danach erhöht sich der Schweregrad und sie müssen auf das nächste Level gehen.

Die Frage ist nur: Auf welchem Level bist du gerade und bist du auch schon bereit für ein Upgrade?

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wer kennt es nicht? Du musst einen Server aufsetzen. Du erstellst eine VM, legst die Windows Server ISO ein, drückst ein paarmal auf Weiter, vergibst noch schnell ein lokales Admin Passwort und zack, alles läuft. Der Server ist einsatzbereit, alles funktioniert und er kann auch mit anderen Systemen kommunizieren. Fertig, Arbeit! Aber bist du dir sicher? Wenn ich Microsoft mit einem Wort beschreiben müsste, dann wäre es Kompatibilität. Windows ist darauf ausgelegt, dass du selbst Jahrzehnte...

12 days ago • 3 min read

Früher mussten Hacker viel technische Vorarbeit leisten, um einen Angriff durchführen zu können – heute reicht ein Klick auf LinkedIn. OSINT heißt das Zauberwort, und manchmal liefern die eigenen Leute die besten Geheimnisse frei Haus. Was ist OSINT überhaupt? OSINT steht für Open-Source Intelligence, also Informationen, die frei verfügbar sind. Das muss nicht immer das Internet sein, auch Printmedien oder Vor-Ort-Begehungen können viel verraten. Aber in der Regel ist das Internet der...

19 days ago • 3 min read

Passwörter "leaken" mittlerweile öfter als Waschmaschinen – ja, auch die ohne WLAN. Das ist schon komisch, denn die Haltbarkeit der Waschmaschinen ist in den letzten Jahren nicht unbedingt gestiegen. Aber jetzt wollen wir nicht über geplante Obsoleszenz diskutieren, sondern über Passwort Leaks. Wie entsteht ein Leak? Eine Website, Anwendung oder ein Portal wird gehackt. Wenn der Betreiber selbst draufkommt und seriös ist, dann informiert er seine User und fordert sie auf, ihr Kennwort zu...

26 days ago • 3 min read