19.08.2009, 14:43 Uhr
So lief der Millionen-Hack
Aus der Anklageschrift gegen Albert Gonzalez, der zusammen mit russischen Komplizen 130 Millionen Kreditkartennummern gestohlen haben soll, wird ersichtlich, wie dieser Jahrhundert-Hack technisch durchgeführt wurde.
Er soll hinter dem grössten Klau von Kreditkarteninfos der IT-Geschichte stehen: Albert Gonzalez aus Miami
Demnach wurden die Kreditkarteninfos hauptsächlich über sogenannte SQL-Injektionen abgefangen. Dabei werden Datenbankabfragen in der Structured Query Language (SQL) manipuliert. Dies wiederum wird oftmals durch schlecht programmierte Webseiten erleichtert, auf denen Surfer etwa über ein Online-Formular Waren bestellen können. Weist der Online-Shop Fehler auf, können Hacker sich zwischenschalten und die zugrundeliegende Datenbank angreifen, sowie Malware in die damit zusammenhängende Unternehmensinfrastruktur einschleusen.
Die Methoden der SQL-Injektionen sind bekannt, und IT-Security-Experten warnen Online-Händler seit Jahren, sie sollten ihre E-Shops und Webapplikationen besser schützen. Diese Angriffsart sei nicht nur besonders häufig, sie gelte auch als sehr erfolgreich, heisst es. So existieren im Web Hackertools, mit denen sich sehr rasch hauseigene und kommerzielle Webanwendungen nach SQL-Angriffspunkten abscannen lassen. Zu allem Übel erforderten entsprechende Attacken auf Hacker-Seite keine allzu grosse Expertise. Besonders Firmen, die noch ältere Versionen von Microsofts Datenbank SQL Server einsetzten, seien besonders gefährdet, beurteilen die Security-Leute. Hier könnten ganze Informationssammlungen gekidnappt weden.
SQL-Injektionen seien auch deshalb so populär, weil sie einen der wenigen verbleibenden Wege darstellen, über den Hacker überhaupt noch in Unternehmenssysteme eindringen können. "Einer der wenigen Ports, der heute noch offen ist und den die Firewall nicht sonderlich abschottet, ist jener, über den der Verkehr zum Webserver läuft", berichtet Matt Marshall, Security-Experte beim US-Unternehmen Redspin, das bei Firmen Sicherheitsprüfungen durchführt.
Diese Faktoren scheinen auch den nun Angeklagten Gonzalez dazu bewogen zu haben, vermehrt auf SQL-Injektionen zu setzen. Denn zunächst griff er laut Anklageschrift Kreditkartennummern ab, indem er über ungeschützte und löchrige Access Points zu Wireless LAN (Local Area Network) in die Firmennetze gelangte. Dies wurde bis etwa August 2007 praktiziert, danach fokusierte sich der Angeklagte auf SQL-Angriffsmethoden.
Dem Jahrhundert-Hack kann Marshall dennoch etwas Gutes abgewinnen. "Diese Angriffe auf bekannte Firmen hat Signalwirkung", meint er. "Jetzt werden die Unternehmen den Webappliaktionsschutz ernster nehmen", hofft Marshall.
