Wie bleiben Hacker anonym

Einen Hacker (Black Hat) zurückzuverfolgen, wenn man gehacked wurde ist nichts einfaches, denn meistens beseitigen Black Hats ihre Spuren und sind sehr gründlich was Anonymität angeht.

Ist es denn dann überhaupt möglich einen Hacker zurückzuverfolgen und zu enttarnen ?. Ja, das kommt aber darauf an, was für ein Typ Hacker es ist und welche Art von Angriff durchgeführt wurde. In diesem > Blog Artikel < kannst du dir die Angreifertypen nochmal genauer anschauen. Es liegen Welten zwischen den Angriffen von professionellen Black-Hats und Skript-Kiddies (Anfänger). Ich möchte in diesem Beitrag einen kleinen Einblick geben.

Während professionelle Black-Hats nach einem ausgefeilten Spielplan vorgehen, verwenden Skript Kiddies eher vorgefertigte Tools um ihre Hacks druchzuführen. Skript Kiddies sind deshalb trotzdem nicht zu unterschätzen, denn auch sie können durch einen Überraschungseffekt sehr Großen Schaden anrichten. Was Anonymität angeht unterscheiden sich die Fähigkeiten sehr stark voneinander.

Hackertypen und das Bewusstsein für Anonymität

Zuerst muss man natürlich wissen mit wem man es zu tun hat. Es könnte der Racheakt eines Mitarbeiters sein oder einfach nur ein jugendlicher der ein Hacker-Tool gegen einen Game-Server ausprobieren möchte. Je nach Typ und Wissensstand bewegt sich der Hacker mehr oder weniger Anonym im Internet.

  • Für professionelle Hacker ist es sehr wichtig ein festes Konzept für Anonymität und Verschlüsselung zu besitzen. Ein Angriff ohne solide Sicherheitsvorkehrungen wäre viel zu riskant. Sie programmieren sich ihre Hacking Tools selbst um sicher zu gehen.
  • Semi-Professionelle Hacker kennen sich mit der Materie aus und haben ein gutes technisches Verständnis. Sie nutzen Anonymität ab und zu aber nicht regelmäßig genug. Sie vertrauen auf das unwissen des Endanwenders.
  • Scriptkiddies oder normale Benutzer haben kaum Wissen über die Funktionsweisen. Sie nutzen einfach Tools, um einen schnellen Erfolg zu erlangen. Aus diesem Grund ist es auch einfacher einen Skript Kiddie zurückzuverfolgen. Sie kennen sich kaum bis garnicht mit Anonymität aus.

Einen Profi zurückzuverfolgen wird also ohne solide Forensik Kenntnisse und vorherige Schutz, Protokollsysteme, Honeypots, demilitarisierte Zonen (DMZ) und Intrusion Detection Systeme (IDS) im Heimnetzwerk sehr schwer machbar sein. Selbst wenn man diese besitzt, müsste man dann mit den Providern und Telekommunikationsunternehmen zusammenarbeiten um den Fall aufzulösen. Der finanzielle Aufwand wäre viel zu hoch. Diese mächtigen Hacker begnügen sich aber auch normalerweise nicht mit einfachen Heimnetzwerken oder E-Mail Accounts. Das kommt aber auch darauf an welche Position die angegriffene Person hat. Anwälte oder Staatsbedienstete z.B. sind für professionelle Hacker wesentlich interessanter. Deshalb müssen sie starke Skills besitzen wenn es um Anonymität geht.

Semi-Professionelle Angreifer machen Fehler Sie kennen sich zwar aus, sind aber keine Profis auf dem Gebiet der IT-Sicherheit. Auch hier braucht man Kenntnisse und zumindest protokollierende Systeme, um diese Angreifer zurückzuverfolgen. Sie kennen Standards der Anonymität und können diese einsetzen um ihre IP-Adresse zu verschleiern.

Die besten Chancen hat man einen Scriptkiddie zu enttarnen. Die Angriffe reichen von Malware Attacken, also mit Trojanern oder Viren, bis Vandalismus und das verunstalten der gesamten Webseite. Sie nutzen kleine Tutorials um ihre Angriffe durchzuführen und setzen teilweise keine Anonymität ein.

Es gibt einige Dinge die man zuerst verstehen sollte bevor man versucht einen Black Hat und Anonymität zu verstehen.

Was bedeutet überhaupt Anonymität im Internet ?

Anonymität bedeutet, dass eine Gruppe oder einzelne Person nicht identifiziert werden können. Das Internet ist längst kein Ort mehr an dem man Anonym kommunizieren kann, auch wenn es sich subjektiv manchmal so anfühlt. Beim Zugriff auf Webseiten passiert im Hintergrund eine ganze Menge und ohne Sicherheitsvorkehrungen wird man sehr schnell identifiziert. Die IP-Adresse wird bei Zugriffen im Internet ständig mitprotokolliert. Außerdem schützt unverschlüsselte Kommunikation nicht vor dem Mitlesen, speichern und verändern von Informationen. Tracking Mechanismen gibt es zudem auf Webseiten haufenweise. Installiere dir einmal dieses Browser Plugin (Ghostery) um das Tracking deines Surfverhaltens zu beobachten.

Die Hackerparagraphen

Black Hats kommen auch nicht einfach ohne Strafen davon. Das ist ihnen bewusst. Der Bürger wird mit seinem Problem nicht alleine gelassen. Man sollte sich auf jedenfall zuerst professionelle Hilfe holen und Anzeige erstattet, wenn man Angegriffen wurde. Das Deutsche Strafgesetzbuch (StGB) regelt die Konsequenzen für illigales Hacking mit folgenden Paragraphen:

Mit §205 StGB und §303c des StGB wird sichtbar, wie schwierig die Rechtssituation ist, wenn es um das Hacking geht. Hacker müssten auf frischer Tat ertappt und die Beweise sofort protokolliert werden. Die Spurensicherung (Forensiker) haben teilweise eine schwierige Aufgabe, denn oft müssen sehr viele komplexe Puzzelteile erkannt und zusammengeführt werden. Das Internet wirkt Anonym und es scheint unmöglich Angriffe und Diebstähle zurückzuverfolgen.

Die Situation wird schwieriger, wenn es sehr private Angelegenheiten oder kritische Informationen sind und man absolut nicht möchte, dass ein dritter von dem Hackerproblem erfährt.

Hilfe gibt es hier vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt z.B. einige Informationen und Hilfe bei Randsomware (Verschlüsselungsmalware) wie in solchen Fällen am besten reagiert werden sollte:

  • Lösegeldforderungen sollten nicht gezahlt werden, da es keine Garantie dafür gibt, dass die Verbrecher auch ihr “Wort halten” und die Entschlüsselung ermöglichen.
  • Anzeige erstatten, denn ohne können polizeiliche Ermittlungen und weitergehende Untersuchungen nicht durchgeführt werden.
  • Incident Response Schäden begrenzen, Infektionsvektor finden und schließen um eine erneute Infektion zu verhindern, Systeme neu aufsetzen und Daten wiederherstellen
  • Externe Expertise Man sollte sich auf jedenfall Hilfe holen. In diesem Forum helfen Experten des Anti-Botnetz Beratungszentrums.

Ok, also sollte man jetzt z.B. den Stecker des Rechners bei einem Trojaner besser ziehen oder lieber erstmal abwarten um keine Beweise zu vernichten ?.

Das BSI: Zur Begrenzung des möglichen Schadens sollten infizierte Systeme zunächst umgehend vom Netz getrennt werden. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter.

Hier nachlesen

Black Hats müssen also Paranoid sein, was Anonymität angeht, denn es drohen harte Strafen bei Enttarnung. Den Hackern ist jederzeit bewusst, dass sie bei fehlern enttarnt werden können und versuchen sich deshalb vor oben genannten Strafen zu schützen.

Datenspuren und wie funktioniert das Surfen im Internet (kurz)

Für das Surfen im Internet verwendet man gewöhnlicherweise einen Webbrowser wie Mozilla Firefox, Google Chrome, Opera, Safari oder den Internet Explorer. Der Webbrowser ist eigentlich nur ein Computerprogramm zur Darstellung von Webseiten.

Vereinfacht ausgedrückt, wenn du eine URL in den Webbrowser eingibst und bestätigst, fragt der Browser eine Datei (Webseite) von einem entfernten Server ab. Das läuft alles im Hintergrund ab und ist eine spezielle Form der Kommunikation zwischen deinem Rechner (Client) und dem Server auf dem die Webseite liegt.

Die Webseite die du anfragst besteht nur aus einer speziellen Form von verschiedenen Text Bausteinen, links und Informationen wie die Webseite aussehen und strukturiert werden soll (HTML,CSS, Javascript). Du kannst dir das mit einem Rechtsklick unter “Seitenquelltext anzeigen” einmal anschauen.

Wenn dein Browser also eine Webseite anfragt passiert folgendes:

Du tippst die URL ( Uniform Resource Locator ) in die Adressleiste und die URL wird durch einen DNS Server in eine IP-Adresse übersetzt. Der DNS Server übersetzt eigentlich nur IP-Adressen in Domainnames und anders herum, ähnlich wie ein Telefonbuch. Die IP-Adresse ist wie die Hausadresse eines Gerätes und wird für jedes Netzwerkfähige Gerät zugewiesen oder festgelegt. Sobald die IP-Adresse des Servers dem Browserprogramm bekannt ist, wird eine TCP-Verbindung zum Server aufgebaut und Packete zum Port 80 auf dem Server gesendet. Die Packete werden über mehrere Stationen geschickt bevor sie den Ziel Server erreichen. Wenn der Server die angefragte Seitenadresse erhalten hat, sendet er diese über das HTTP Protokoll an den anfragenden Client zurück. Damit Niemand die Kommunikation mitlesen oder verändern kann, wird die Kommunikation in der Regel durch SSL/TLS gesichert übertragen. Das sieht du meistens an dem Grünen Schloss in der Adressleiste. Ist die Übertragung abgeschlossen kann der Browser die Verbindung schließen oder weitere Daten anfordern. Es wird abschließend ein Status Code mitgesendet (Response Code) um dem Client mitzuteilen, ob die Übertragung erfolgreich war. Hier sind einige Status Codes die du vielleicht schon einmal gesehen hast:

  • 400 Bad Request.
  • 401 Unauthorized.
  • 403 Forbidden.
  • 404 Not Found.

Was ist Tracking ?

Wenn du eine Webseite auf einem Server aufrufst, wird in einer Logdatei dein Dateizugriff protokolliert. Um deine Identität festzustellen und deine vorlieben auf der Webseite zu verfolgen wird auf deinem Browser eine kleine Datei installiert die sich Cookie nennt. Mit dem Cookie weiß die Webseite bei einem erneuten Besuch wer du bist und für was du dich interessierst.

Wie schützt man sich vor Tracking ?

  • Lösche deine Browser Historie und alle Daten wie Cookies und Caching Informationen automatisch.
  • Privates Browsen aktivieren
  • Installiere das Ghostery Plugin, wenn du den Firefox Browser verwendest
  • Ad-Blocker Plugins wie der AdBlockPlus blockieren automatisch Werbecookies

Du kannst dir natürlich etwas mehr Privatsphäre beim Surfen durch das blockieren von Tracking Cookies verschaffen. Das ändert aber nicht unbedingt, dass deine Verbindungen und deine Kommunikationskanäle von Hackern oder deinem Chef abgehört werden kann.

Und wofür ist das Wissen jetzt nützlich ?

Du solltest verstehen das Zugriffe auf Webseiten Spuren hinterlassen. Einige der Spuren werden auch auf dem eigenen Rechner in Form von Caching, Cookies und Browserhistorien zu finden sein. Diese dinge sind eigentlich alle dazu da, um deinen Browser zu beschleunigen. Wenn es um Anonymität geht arbeiten die Tools dann aber meistens gegen dich.

Es ist wichtig, dass du dir merkst das das Internet keine Umgebung ist in der man sich Anonym bewegt. Die IP-Adresse wird bei Verbindungen protokolliert. Das gilt also auch für Angreifer. Hacker hinterlassen also Datenspuren und können über diese Spuren zurückverfolgt werden.

Black Hats haben aber ein gutes Verständnis der Netzwerktheorie und wissen wie das Internet funktioniert. Deshalb vermeiden sie es im Internet ohne Schutzmechanismen unverschlüsselt zu surfen und Webseiten ungeschützt zu hacken.

Wie bleibt ein Black Hat Anonym ?

Du solltest dir merken, dass Standard Internet-Protokolle wie:

  • HTTP
  • FTP
  • POP3
  • SMTP

die Datenübertragung unverschlüsselt durchführen und damit aufjedenfall unsicher sind. In der Praxis kann man also mit einem einfachen Netzwerksniffer wie Wireshark den gesamten Datenverkehr ohne weitere Probleme mitlesen. Das wissen auch Hacker und sorgen deshalb dafür, dass sie mit technischen Hilfsmitteln unentdeckt bleiben.

Zuerst ist es wichtig, dass der Hacker das richtige Betriebssystem verwendet. Denn Windows oder MAC z.B. sammeln genügend Daten über die Anwendernutzung des Betriebssystems. Meistens wird das Betriebssystem Linux (Debian oder Kali Linux) von Hackern verwendet. Die wichtigen Partitionen (\home und \ ) werden vorher mit dem LVM verschlüsselt.

Mit der Virtualisierungssoftware VMWare oder VirtualBox werden dann z.B. virtuelle Rechner mit dem Betriebssystem Linux Tails, Liberte Linux, Whonix oder QubesOS installiert. Das sind Betriebssysteme die extra dafür ausgelegt sind die Privatspähre zu schützen.

Einige Vorteile von Tails:

  • das Internet anonym zu nutzen und Zensur zu umgehen (TOR)
  • es werden keine Spuren auf dem System hinterlassen,
  • es werden kryptographische Werkzeuge verwendet
  • E-Mails,Dateien und Instant-Messaging-Nachrichten werden verschlüsselt.

Auch auf dem installierten virtuellen System werden alle wichtigen Partitionen dann nochmals verschlüsselt.

Die zweite Hürde ist es für den Hacker, die Verbindungsdaten vor dem Internet Service Provider (ISP) zu verschleiern.

Der gesamte Datenverkehr wird auf den oben genannten Betriebssystemen automatisch über das TOR Netzwerk geschickt. TOR ist eine Möglichkeit um Verbindungsdaten zu anonymisieren. Wahrscheinlich hast du schon einmal vom Darknet/Deepweb gehört. Mit dem TOR Browser bekommt man Zugang zum Darknet. Zusätzlich nutzen Black-Hats einen sicheren VPN Anbieter um die Kommunikation zu verschlüsseln und einen SSH Tunnel oder vorgeschaltete Proxy Server um die IP-Adresse zu verschleiern. Alle diese Komponente sind eine Hilfe für den Black Hat um Anonym zu bleiben.

Die Kommunikation sieht dann ungefähr so aus

Die Reihenfolge des Aufbaus der Komponente spielt eine wichtige Rolle, denn die Frage ist welcher Anbieter sollte zuerst den Datenverkehr bzw. die abgefragten Seiten sehen und welcher als letztes. Wem kann der Black-Hat sozusagen am wenigsten vertrauen.

Was sind das für Komponente ?

TOR

Tor ist ein Netzwerk um Verbindungsdaten zu Anonymisieren. Es soll seine Nutzer vor der Datenverkehrsanalyse schützen. Mittlerweile hat das TOR Netzwerk aber auch seine Grenzen erreicht und weist mehrere sicherheitstechnische Schwachstellen auf. Black Hats müssen auch mit TOR sehr vorsichtig sein, denn auch hier sind sie nicht mehr sicher.

PROXY

Ein Proxy Sever ist eine Art Vermittler der Anfragen entgegennimmt und sie weiterleitet. Mit Hilfe eines Proxy Servers lässt sich die Kommunikation sozusagen verschleiern. Das kannst du z.B. mal mit einem kostenlosen Webproxy ausprobieren hidemyass. Schau dir zuerst einmal auf https://www.wieistmeineip.de/ deine IP-Adresse an. Danach surfst du über die Webseite https://www.hidemyass.com/en-us/proxy auf den selben Link um dir nochmals deine IP-Adresse anzusehen. Sie sollte jetzt anders aussehen. Oft werden SOCKS4/5 Proxies dafür verwendet um die IP-Adresse zu ändern und Sperren bei Online Content zu umgehen. Sie verschlüsseln aber den Datenverkehr nicht. VICSOCKS (Victim SOCKS) sind eine besondere Form der Proxys, welche gekaperte Rechner sind, die dafür Missbraucht werden einen Proxy Server zur Verfügung zu stellen.

VPN

VPN steht für Virtuelles privates Netzwerk (VPN) und ist ein in sich abgeschlossenes Netzwerk das der verschlüsselten Kommunikation und der Übertragung von Daten dient. VPN’s helfen dir also wenn du gegenüber Webseiten unerkannt bleiben möchtest. Aber was machen wenn selbst der VPN Anbieter den Datenverkehr mitliest ?. Man verbindet sich ja schließlich mit dem Service im Vertrauen. Hacker sind auch hier vorsichtig und man unterscheidet zwischen protokollierenden und nicht protokollierenden Providern.

WLAN Hotspot

Eine andere Möglichkeit ist es einen fremden WLAN Hotspot zu hacken und diesen dann für Angriffe zu nutzen. Natürlich muss der Hacker vorher seine Hardware Adresse (MAC) ändern um nicht identifiziert zu werden. Diese Technik kann dem Besitzer des WLANS gefährlich werden, da dieser dann fälschlicherweise als schuldiger identifiziert wird.

Oft missbrauchen Black Hats die IP-Adresse anderer Benutzer und versuchen mit allen mitteln die eigene Identität zu verschleiern. Anonym zu bleiben ist für sie essentiell wichtig, da sie ihre kriminellen Machenschaften bei Entarnung hinter Gitter bringen.