Beweissicherung nach einem erfolgreichen Cyberangriff

Grundlagen

  1. Ein Computer / Prozessor verwendet das binäre Zahlensystem (1 und 0), um Informationen zu verarbeiten.
  2. Diese Informationen können manipuliert werden.

Ursprung des Angriffs

Unsere Penetrationstests finden immer bewusst von einer statischen IP-Adresse statt. So lässt sich nachverfolgen, was wann getan wurde.

Wenn ich nun ein “böser Angreifer” bin, wäre mein erster Schritt, diese IP zu verschleiern. Ich würde mir – natürlich nur hypothetisch gesprochen – einen (oder mehrere) fremde Server suchen, um von mir abzulenken und von dort aus meinen Angriff zu starten. (Z.B. eine Server in China, oder Russland oder gar ein ganzes Netz von Rechnern (infizierte Computer, Bot-Net, usw.) ist für sowas prädestiniert.)

Die Code Schnipsel

Ein Teil der Malware Analyse findet durch Reverse Engineering statt. Hier wird der Code zerpflückt und auf markante Stellen untersucht. Auch hier kann ein geschulter Sicherheitsspezialist das ein oder andere platzieren.

Z.B. „Jeder Sicherheitsanalyst weiß”, das russische oder chinesische Hacker Ihre eigenen Leute nicht hacken.

Wenn es im Code nun eine Abfrage gibt, welche das entsprechende Tastaturlayout ausliest, also bei einer kyrillischen oder chinesischen Tastatur die Malware nicht ausführt, was würden die Analysten wohl glauben? Und wenn diese Analysten zufällig auch noch im selben Zeichensatz / in derselben Sprache „Kommentare“ finden, gibt es genug Indizien für vorsichtige Äußerungen.

 

Die Information von Wert

Ein weiteres Indiz ist, welche Informationen abgerufen worden sind. Und da „ausspionieren unter Freunden“ ja bekanntlich, „gar nicht geht“, gibt es nur noch ein, zwei übliche Verdächtige, die für solch einen Angriff infrage kommen.

Fazit: Wenn ein x-beliebiger Hacker seine Taten verschleiern will, gibt es hierfür genug Möglichkeiten. Und auch die Analysten, welche ich persönlich kenne, würden nie Aussagen in eine Richtung anstellen, wer der Täter ist.

Lediglich Anbieter von IT-Sicherheitslösungen haben ein Interesse, DEN Schuldigen zu benennen.

Denn seien wir einmal ehrlich, es klingt für Sie als Kunden doch besser, wenn ich sage:

„Es waren die Russen / Chinesen / Israelis / Amerikaner …, und das mit staatlicher Hilfe. Da kann man einfach nichts machen.“, als ein „Wir haben keine Ahnung wer das war.“