Zu den prägendsten (und oft auch letzten) Kriegserfahrungen mancher Soldaten zählen Fehlfunktionen ihrer Waffen. Der sprichwörtlich „nach hinten losgehende“ Kanonenschuss, die in der Hand explodierende Wurfgranate, das einen Looping drehende und dann zurückkommende Lenkwaffengeschoss.
Das scheint in der Welt der Cyber-Söldner nicht anders zu sein. Dort ist es üblich, beim Angriff auf IT-Systeme auf selbstgebaute Hackertools zurückzugreifen. Diese werden oft „quick & dirty“ für das gebaut, was sie machen sollen. Ohne große Qualitätssicherung, ohne Test, mit oftmals nur wenig peer-review durch Dritte.
Und das macht Hacker selbst angreifbar, wie kürzlich die BBC berichtete. Im Kampf gegen Internetkriminalität haben Sicherheitsexperten von TEHTRI-Security häufig verwendete Tools der Hacker untersucht und dabei zahlreiche Sicherheitslücken entdeckt. Die Programme, die dabei verwendet werden, wären in vielen Fällen leicht zu knacken, so das Fazit der Experten nach eingehender Analyse der Programme. Das gilt insbesondere für Hackertools die im Internet frei verbreitet, aber kaum weiterentwickelt werden. Denn bei ihnen greift das qualitätssichernde Element einer breiten Fachöffentlichkeit und des Zugangs vieler Experten zum Quellcode nicht.
Viele der Lücken sind dabei offenbar so leicht zu finden, dass sie ohne Weiteres für Gegenangriffe und „proaktive Abwehr“ ausgenutzt werden können. Mit diesen Erkenntnissen ging der Sicherheitsexperte Laurent Oudot bereits im Rahmen der SyScan 2010 Security Conference in Singapur an die Öffentlichkeit und nannte dabei dreizehn Sicherheitslücken, die er in einigen der populärsten Hackertools entdeckt hatte.
In vielen Fällen würde das Ausnutzen solcher Exploits es Sicherheitsexperten ermöglichen, ihre Gegner zu identifizieren und bis zu deren Rechnern zurück zu verfolgen, Informationen über sie und ihre Methoden zu sammeln, zum aktiven Gegenangriff überzugehen und sogar Vergeltungsschläge gegen Cyber-Kriminelle zu führen. Auch wenn das in den wenigsten Fällen legal sein dürfte, gilt auch hier das „elfte Gebot“ (du sollst dich nicht erwischen lassen).
Und so wies auch Oudot in seinem Konferenzbetrag darauf hin, dass dieses Vorgehen vor allem rechtlich problematisch sein könnte. Die praktische Anwendung stünde momentan auch nicht im Vordergrund. Die Ergebnisse der Untersuchung sollten dazu dienen, im Bereich der Internet-Sicherheit neue Möglichkeiten anzudenken.
Auch Skript-Kiddies, die sich schon als „großer Hacker“ fühlen, nachdem sie es erfolgreich geschafft haben, ein einschlägiges Programm aus dem Internet herunterzuladen und auf ihrem Rechner zu starten, sollten sich daher künftig besser überlegen was sie tun. Schließlich fehlt es ihnen meist an den Kenntnissen, um die tatsächliche Qualität und Wirkung des Programms beurteilen zu können.
