Firewall knacken?
Hallo Zusammen!
Vorab: Diese Frage wird nicht in Verbindung zu kriminellen Aktivitäten gestellt, sondern rein aus Neugierde.
Ich denke, jeder der diese Frage liest, weiss was eine Firewall ist. Heutzutage wenn "Hacker" an vertrauliche Daten von Bank-Kunden kommen wollen, verschicken sie spam und erhoffen sich mit keylogger oder sonst irgend welchen Spielchen daran zu kommen.
Besteht aber trotzdem eine Chance - heutzutage - bei einer Bank wie UBS oder Julius Bär die Firewall zu knacken, um auf diesem Weg an die Kunden-Daten zu kommen? Und würde das dann mit einem riesig langem Code funktionieren?
Ich wäre froh, wenn nur seriöse Antworten kommen würden, Danke! :-)
3 Antworten
Rein hypothetisch ist es sicherlich möglich, bei einer kommerziellen Firewall eine entsprechende Lücke zu finden und sich daran vorbei zu mogeln. Der Aufwand dafür ist aber häufig (wenn nicht recht schnell Lücken z.B. in der Firewall selbst bekannt sind oder gefunden werden) so hoch, dass sich ein Angriff realistischerweise nicht lohnt.
In der Praxis ist es meistens deutlich einfacher und effizienter, andere Wege zu suchen, z.B. über das von dir auch schon erwähnte Phishing.
Naja, je nach Betrachtungsweise kann man das auch als "hack" bezeichnen.
Letzten Endes ist ein "hack" ja nur eine Vorgehensweise um ein bestimmtes Ziel zu erreichen, welches mittels regulärem Workflow nicht erreicht werden kann. So zumindest die Definition des Begriffs "hacks" wie ich sie noch kennen gelernt habe.
Ein "hack" muss nicht zwingend bedeuten, dass ein technisches System (hier die Firewall) lahm gelegt wird, sondern umgangen wird. Das kann auf vielerlei Arten passieren:
- Man kann sich valide Accountdaten von unvorsichtigen Kunden besorgen (Phishing).
- Man kann mit Tricks oder durch Ausnutzen von Lücken die Firewall selbst lahm legen (technischer Hack).
- Man kann sich von Bankangestellten einen Zugang gewähren lassen (social engineering).
Letzten Endes sind das aber dann - nach meinem Empfinden - eigentlich nur Spitzfindigkeiten.
Zur Ursprungsfrage zurück: Ja, technische Systeme wie eine Firewall können umgangen oder ausgeschaltet werden (Stuxnet), aber es ist enorm aufwändig und meistens sind andere Methoden zielführender.
Man braucht keinen "riesig langen Code" um eine Firewall zu knacken. Jede Firewall besitzt offene Ports. Andernfalls wäre es ja eine einfache Trennung vom Internet und man könnte statt dessen den Stecker ziehen.
Um an die Inhalte der Datenbanken zu kommen, braucht nur man nur Zugriff auf die Server durch die Firewall hindurch. Das kann man mit verschiedenen Fishing-Techniken schaffen, z.B. verseuchte USB-Sticks vor dem Gebäude liegen lassen. Ein toller Angriff läuft auch mit Schokolade: Wenn man eine Umfrage über Passwörter macht und den Personen zunächst eine Tafel Schokolade schenkt, sind einige tatsächlich bereit ihr echtes Passwort zu verraten. Sie denken, man würde ja den dazugehörigen Account nicht kennen oder legen sich irgendeine andere Ausrede zurecht. Die Gier nach Süßigkeiten ist eine Millionen Jahre älter als die Furcht um die Computersicherheit.
Das "Knacken" der Firewall gehört nicht zu den effizienten Angriffsmethoden. Insofern ist deine Frage nicht klar. Welches Problem möchtest du lösen?
Jede Firewall besitzt offene Ports.
Aber nur, wenn ein sehr guter Grund dafür besteht. Wenn nicht, dann wäre die Firewall kaputt oder falsch konfiguriert. :)
Meine hat z. B. keinen einzigen offenen Port.
Wir reden von einer Firewall, richtig? Dann gehe ich natürlich von eingehenden Ports aus. Und die sind logischerweise alle zu. Punkt.
Da kann von außen niemand drauf zugreifen, und genau darum ging es dem Fragensteller.
Wenn ich auf gutefrage.net:443 zugreife, öffnet das ja keinen eingehenden Port in meiner Firewall. Und wenn ich Port 12345 meiner Firewall dafür nutze, bringt das einem möglichen Angreifer genau gar nichts.
Meine Firewall kontrolliert und blockiert bei Bedarf natürlich auch die ausgehenden Ports, um z.B. aktive Trojaner von der Kommunikation mit ihren Command-Servern abzuhalten. Man betreibt hinter Firewalls aber auch Server, die über das Internet erreichbar sein sollen. Viele Benutzer normaler PCs haben offene Ports um sich z.B. über 5938 per TeamViewer erreichen zu lassen (Fallback: 443) oder um auf ihren OwnCloud-Server unterwegs zugreifen zu können. Wenn man Rechner in einem Rechenzentrum mietet, müssen die auch von außen erreichbar sein, sind aber selbstverständlich mit einer Firewall gesichert, die eben nicht alle Ports geschlossen haben kann.
Da kann von außen niemand drauf zugreifen, und genau darum ging es dem Fragensteller.
Nein. In der Frage ging es um eine Bank. Selbstverständlich habe die offene Ports in ihrer Firewall, denn sie sind ja von außen erreichbar, z.B. für Internet-Dienste, Mail-Service und Datenbank-Verbindungen.
Bei einem privat genutzten PC ist eine komplett geschlossene Firewall möglich. "Vertrauliche Daten von Bank-Kunden" findet man aber eher auf hoch-aktiven und aus dem Internet aus erreichbaren Servern. Hier haben Firewalls natürlich offenen Ports und limitieren selbstverständlich ein- und -ausgehende Ports.
Zudem ist jede TCP/IP-Kommunikation zweiseitig. Wenn du tatsächlich Port 443 von außen schließt, kannst du keine HTTPS-Seiten mehr anschauen.
Ich habe KEINEN offenen Port, kann aber auf das Netzwerk hinter meiner Firewall von außen zugreifen. Das funktioniert ziemlich genau so, wie ich in meiner Antwort geschrieben habe, nur eben völlig beabsichtigt.
Bankennetze sind übrigens strikt getrennt, und alles hängt hinter einer DMZ (bzw. gleich mehrerer). Von daher würde ich mal raten und behaupten, dass Datenbankserver NICHT durch offene Firewallports erreichbar sind. Das ist ein unnötiges Sicherheitsrisiko, und das kann man elegant ganz anders lösen ... u. a. so, wie ich in meiner Antwort geschrieben habe. (ich glaube, ich wiederhole mich)
Und das, was du zu TCP schreibst, vergessen wir mal ganz schnell wieder. Du willst jetzt hier nicht ernsthaft anfangen zu definieren, was ein "offener Port" ist, wenn eine Duplex-Verbindung besteht, oder?
Der zweite Absatz unter folgendem Punkt beschreibt, was ich meine:
https://de.wikipedia.org/wiki/Reverse_Proxy#Weiterleitungsmodul_einer_Firewall
Deine Antwort ist sehr gut. Deine Kommentare hier finde ich nicht schlüssig. Dass es bei einer Firewall nur um eingehende Ports geht, dass dann von außen niemand auf das Netzwerk zugreifen kann, du aber schon - seltsam.
Es wäre schön, wenn wirklich alle Datenbank-Server nicht ohne weiteres von außen erreichbar wären. Man konnte sich viel zu oft aber leicht durch eine SQL-Injection an den Inhalten der Datenbanken bedienen. Genau wie du schreibst: "Allerdings machen gerade große Firmen oft die dümmsten Fehler." Man kann jede Menge offene Datenbanken im Netz finden.
Nein, ich will in der Tat nicht diskutieren, was ein offener Port ist. Ich will hier nur die Frage beantworten:
Besteht aber trotzdem eine Chance - heutzutage - bei einer Bank wie UBS oder Julius Bär die Firewall zu knacken, um auf diesem Weg an die Kunden-Daten zu kommen? Und würde das dann mit einem riesig langem Code funktionieren?
Ich bleibe dabei: Man braucht weder einen riesig langen Code noch muss man die Firewall knacken, weil es möglich ist, Daten durch sie hindurch zu senden.
Danke für den Link.
Dazu baut der interne Rechner zunächst eine Verbindung zu einem bestimmten externen Rechner auf, wodurch der externe Rechner über die Firewall hinweg mit dem internen Rechner kommunizieren kann.
Genau diesen Verbindungsaufbau von innen nach außen kann eine Firewall auch verhindern, falls man auch in diese Richtung alle Ports blockiert. Das ist dann aber nicht mehr nützlich, weil dann gar keine Kommunikation mehr stattfindet. Deshalb lässt man von innen die benötigten Ports frei und blockiert sicherheitshalber die nicht benötigten. Es gibt jede Menge Software, die versucht nach draußen zu telefonieren. Aber das kann man mit einer Firewall einschränken. Genau das meinte ich mit "jede Firewall besitzt offene Ports".
Dann sind wir uns ja (fast) zu 100% einig. :)
Allerdings würde ich dir sehr ans Herz legen, dich zum Thema Reverse-Proxy und Firewall-Bypassing zu belesen. Denn eine Firewall ausschließlich mit geschlossenen Ports erlaubt durchaus den Zugriff von draußen!
Ein Bekannter arbeitet als Admin in einem Rechenzentrum, und dort hat die Firewall extrem strikt alles blockiert, was rein und raus geht. Weil er aber nicht immer in die Firma fahren will, wenn ein Notfall ansteht, hat er sich (sogar mit Erlaubnis der Führungsebene!) einen Zugang von zu Hause aus durch die Firewall getunnelt (ssh-https-tunnel).
Ich wette, es gibt auch Bankenadmins, die das so machen, obwohl es offiziell ja eigentlich nicht sein darf. :)
Ein SSH-HTTPS-Tunnel ist dann ein Loch in der Firewall ("an der Firewall vorbei"), durch den genau wie durch einen anderen offenen Port Daten abfließen können. Das wird wohl auch in Banken stattfinden. Das Problem wird dann deutlich, wenn der Admin z.B. nach einer Kündigung selbst zum Angreifer wird.
Ich hatte einen User, der sich ein Analog-Modem ans Telefon gehängt hat, um von Zuhause an der Firewall vorbei zu kommen. Der Kreativität der Mitarbeiter sind da keine Grenzen gesetzt. Für den FS bedeutet das: du brauchst keinen riesigen Code, um durch die Firewall zu kommen, wenn du dich bei der Bank anstellen lässt und das Vertrauen der Chefs erwirbst. Social hacking ist sehr effizient.
Du brauchst dich bei deiner Fragestellung nicht so zu verbiegen, da dieses Wissen in Deutschland nicht verboten ist. Im Gegenteil, man lernt es in in best. Fachrichtungen einer entspr. universitären Ausbildung sowieso ganz nebenbei.
Für Details fehlen dir vermutlich Grundlagen vor allem in der Netzwerktechnik, aber im Grunde läuft es darauf hinaus, dass du versuchst ins Netzwerk über einen Bug in einer Serverinfrastruktur (oder ganz primitiv mit irgendeiner Form von Phishing) ins Netzwerk zu kommen, und dort eine Art reversen Proxy zu installieren, der sich durch die Firewall nach draußen verbindet.
Diese Vorgehensweise funktioniert in 99% aller Fälle und nur die wenigsten Unternehmen verteilen Zertifikate an ihre Clients im Netzwerk, um durch die Firewall zu kommen.
Allerdings zählen gerade Banken zu den verbleibenden 1%, sodass es hier evtl. schwierig werden könnte und man etwas anders vorgehen muss.
Hinzu kommt, dass die Netze der Banken strikt getrennt sind.
Allerdings machen gerade große Firmen oft die dümmsten Fehler. Meine Bank erzwingt fürs Homebanking z. B. ein Passwort mit exakt 6 Zeichen, das ausschließlich aus Zahlen besteht. Das ist nicht nur unfassbar dumm, sondern galt schon in den späten 80ern als absolutes Nogo.
Aber egal ... Bankennetze sind NICHT so unfassbar sicher, wie du denkst, und gerade mit ein wenig Insiderwissen sind die sehr anfällig.
Fazit: Mal völlig vom Unternehmen abgesehen sind die folgenden Schritte nötig:
- Irgendwie ins Netzwerk kommen (Serverbug, Phishing, etc.)
- Reverse-Proxy installieren.
- Zu "eigenem" Server verbinden.
- ???
- Profit!
Die allermeisten Angriffe durch Firewalls hinweg funktionieren grob nach diesem Schema. Und Details würden Teile der Bevölkerung verunsichern, weshalb ich mir das jetzt spare.
Aber nur so als HInweis: Wenn du das Buch "Computer-Netzwerke" aus dem Rheinwerk Verlag gelesen hast, dann weißt du, wie es funktioniert ... das Ganze ist also weder Geheimwissen, noch wird es ausschließlich von kriminellen angewandt.
Wie man einen reversen SSH-Tunnel baut, ist Grundwissen eines jeden Admins.
Schönen Abend noch! :)
Allerdings machen gerade große Firmen oft die dümmsten Fehler.
Exakt. Prima Antwort.
Jo, in der Zeitung sagen sie immer:
Bank Accounts wurden gehackt, dabei wurden sie nicht gehackt, sondern die Kunden haben einfach Daten bekannt gegeben und jemand hat sie für andere zwecke gebraucht..