Einbruchsstatistik von ZONE-H
18.03.2008
Ich kenne Zone-H noch aus meiner Zeit als Programmierer (mein eigenes System wurde hier übrigens, trotz zahlreicher Versuche, nie gelistet). Auf Zone-H brüsten sich Hacker und Script-Kiddies damit, wer am häufigsten Hacks vorgenommen hat. Vor allem auf die Script-Kiddies ist wohl der Schwerpunkt, die so genannten “Defacements” zurück zu führen. Zone-H hat seine Statistiken für 2007 vorgelegt, aus denen hervorgeht, welche Systeme auf welchem Weg wie oft gehackt wurden. Das ist durchaus interessant – und für mich ebenso überraschend wie erschreckend.
Ich zitiere mal die wesentliche Aussage von Heise:
Die Angriffsmethoden sind weiter gestreut. Am häufigsten gelang ein Einbruch durch geknackte, erschnüffelte oder geklaute Passwörter von Anwendern und Administratoren. Durch Fehler, die das Einschleusen von Dateien oder SQL-Befehlen ermöglichen, fanden fast 20 Prozent aller Defacements 2007 statt. (Quelle: Heise)
Im Detail sieht die Liste bei Zone-H so aus und bestätigt diese Meldung:
Attack Method Total 2005 Total 2006 Total 2007
Attack against the administrator/user (password stealing/sniffing) 48.006 207.323 141.660 Shares misconfiguration 39.020 36.529 67.437 File Inclusion 118.395 148.082 61.011 SQL Injection 36.253 47.212 35.407 Access credentials through Man In the Middle attack 20.427 21.209 28.046 Other Web Application bug 50.383 6.529 18.048 FTP Server intrusion 58.945 55.611 17.023 Web Server intrusion 38.975 30.059 13.405 DNS attack through cache poisoning 7.541 9.131 9.747 Other Server intrusion 1.4732 16.050 8.050 DNS attack through social engineering 4.719 5.959 7.585 URL Poisoning 2.897 7.988 6.931 Web Server external module intrusion 8.487 17.290 6.690 Remote administrative panel access through bruteforcing 2.738 4.988 6.607 Rerouting after attacking the Firewall 988 4.308 6.127 SSH Server intrusion 2.644 14.746 5.723 RPC Server intrusion 1.821 5.793 5.516 Rerouting after attacking the Router 1.520 4.867 5.257 Remote service password guessing 939 7.008 5.105 Telnet Server intrusion 1.863 6.252 4.753 Remote administrative panel access through password guessing 1.014 4416 4.753 Remote administrative panel access through social engineering 780 5472 3.127 Remote service password bruteforce 3.576 4018 3.125 Mail Server intrusion 1.198 4195 1.315 Not available 11.382 37243 9.724
Das Erschreckende für mich: Das ist nichts anderes als der Stand von vor 4 Jahren. Es hat sich nichts geändert, speziell im Bereich SQL-injections, der erfahrungsgemäß in erster Linie durch Webanwendungen abgedeckt wird, die nicht aktualisiert wurden. Eines der grössten Sicherheitsrisiken ist und bleibt damit eine nicht aktuell gehaltene Web-Anwendung. Wenn man sich überlegt, wie oft Online-Shops mit sensiblen Daten damit verknüpft sind, ergibt sich ein Horror-Szenario (Dazu auch nochmal mein Hinweis, warum Kundenkonten ein Problem sind).
IT-Systemadministratoren ebenso wie Webmaster muss aufhorchen lassen, dass das “sniffen” und erraten von Passwörten immer noch die grösste Sicherheitslücke bei den von Zone-H erfassten Hacks ist. Hier zeigt sich, dass die viel beschworene “Schwachstelle Mensch” bis heute der grösste Problembereich ist – und man hire noch viel Arbeit leisten muss.
Viele der kleinen Sicherheitslücken lassen sich damit erklären, dass unerfahrene und unausgebildete Webmaster heute viel zu leicht eigene so genannte “Root-Server” oder “VServer” für kleines Geld bieten können. Dies passt auch ins Bild mit der Zahl, dass der grossteil der gehackten Systeme auf Linux basierte (abgesehen davon, dass Linux verbreiteter sein sollte). Ich bleibebei meinem schon 2004 ausgeprochenen Rat: Wer ein Linux-System nicht wöchentlich aktualisieren kann, der hat auch keinen Server zu mieten – für solche Anwender sind Webhosting-Pakete schlicht angebrachter.
Interessant ist die zunehmende Zahl von Hacks über fehleingestellte Shares. Hier zeigt sich, auf welchem flachen Niveau teilweise Sicherheitslücken entstehen können und welches Basis-Wissen den Betroffenen mitunter in der Systemkonfiguration fehlt.
Die Statistik von Zone-H zeigt vor allem eines: Es gibt kaum neue Probleme, sondern faktisch nur alte Probleme die uns seit Jahren bekannt sind. Diese Probleme, allem voran der Faktor Mensch, müssen zur Lösung endlich angegangen werden. Vielleicht weckt auch diese Statistik das ein oder andere Unternehmen nochmals auf, das bis heute zu stark im Bereich Datenschutz und Datensicherheit spart – bis das böse Erwachen kommt.
Beachtung sollte auch finden, dass der Großteil der Hacks aus “Spass”, “Langeweile” oder “Wettstreit” stattfand. Persönliche Motive wie “Rache” oder “Politisches Engagement” sind eine Randerscheinung – was für Webseitenbetreiber das Risiko, zufälliges Opfer eines Angriffs zu werden, immens erhöht.