Gehackte Daten

Ein Diebstahl historischen Ausmaßes

Gehackte Daten: Russische Kriminelle sollen 1,2 Milliarden Passwörter gestohlen haben. Potsdamer Forscher geben Tipps für mehr Sicherheit

Diesmal könnte jeder Internetanwender weltweit betroffen sein: Eine amerikanische IT-Sicherheitsfirma hat einen Datendiebstahl bisher unbekannten Ausmaßes aufgedeckt. Russische Hacker haben nach Erkenntnissen der Firma Hold Security rund 1,2 Milliarden Einwahlkombinationen für Internetprofile erbeutet. Die Datensätze bestünden aus Benutzernamen und Passwörtern, erklärte Hold Security der „New York Times“. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen. Die Firma warnte auf ihrer Webseite vor dem Ausmaß des Datenklaus: „Solange Ihre Daten irgendwo im World Wide Web sind, könnten Sie betroffen sein.“ Hold Security habe die Daten in Untergrund-kanälen im Internet entdeckt und auch mit der Hackergruppe aus Zentralrussland kommuniziert, berichtete die „New York Times“. Die Einwahldaten stammen demnach von rund 420.000 Webseiten, darunter seien bekannte Firmennamen ebenso wie kleine Seiten. Die Sicherheitsfirma macht keine Angaben dazu, welche Webseiten betroffen sind. Ein von der Zeitung zur Analyse hinzugezogener Experte habe die Echtheit der Daten bestätigt, schrieb die „New York Times“.

„Das ist schon ernst zu nehmen“, sagte Christoph Meinel, Direktor des Potsdamer Hasso-Plattner-Instituts. Hold hatte in der Vergangenheit bereits den Diebstahl einiger hundert Millionen Login-Datensätze aufgedeckt. Allerdings äußerte Meinel Zweifel an der Darstellung, der aktuelle Fall gehe auf russische Hacker zurück. Die Datensätze stammen den Angaben zufolge aus vielen verschiedenen Quellen. „Ich denke mal, da sind internationale Cyberkriminelle am Werk.“ Anhand der Informationen ist es schwer abzuschätzen, wie viele Menschen genau von dem Datenklau betroffen sind. Manche nutzen verschiedene E-Mail-Adressen, unter den Datensätzen könnten auch alte Profile oder Spam-Accounts sein.

Kombination mehrerer Angriffe

Die Dimension des neuesten Datendiebstahls im Netz ist jedenfalls so grotesk groß, dass Sicherheitsexperten zunächst skeptisch reagieren. Das Internet hat nach Schätzungen insgesamt zwischen 2 und 2,5 Milliarden Nutzer. Zuletzt war es zwar keine Seltenheit mehr, dass einige hundert Millionen Login-Datensätze gestohlen wurden. Aber eine so große Beute wie jetzt wurde bisher noch nicht bekannt.

Selbst große Datenbank-Hacks wie etwa bei Sony, Yahoo oder Adobe brachten Hackern in der Vergangenheit maximal eine zweistellige Millionenzahl an Adressen. Dass Datendiebe gleichzeitig in 420.000 Datenbanken eindringen können, dass sie über 500 Million neue Datensätze raubkopieren können, wie von Hold Security behauptet, erscheint auf den ersten Blick mindestens unwahrscheinlich. Doch die russische Hackergruppe, die angeblich hinter dem Hack steckt, hatte eine geniale Idee: Sie überließ die eigentliche Massenarbeit des Hacks Hunderttausenden Webseiten den unwissenden Benutzern eben dieser Seiten.

Dafür kombinierten die russischen Hacker, die laut „New York Times“ alle aus einer kleinen Stadt in der Region um Nowosibirsk stammen, zwei bereits bekannte Angriffstechniken für einen Massenhack bislang unerreichter Dimensionen: Um die Datenbanken der betroffenen Seiten zu hacken, nutzen die Täter eine seit Langem bekannte Technik namens SQL-Injection (SQLI). SQL steht für „Search and Query Language“, eine weithin eingesetzte Programmiersprache zur regulären Massenabfrage großer Datenbanken nach bestimmten Kriterien. SQL wird im Netz sehr oft eingesetzt, um von einer Webseite aus mit einem Eingabefenster eine Anfrage an eine mit dem Netz verbundene Datenbank – etwa mit Nutzerdaten – zu stellen.

Normalerweise gibt der Programmierer der jeweiligen SQL-Eingabemaske auf einer Website vor, welche Suchanfragen erlaubt sind, und welche nicht. So muss er etwa verhindern, dass ein Nutzer die Daten eines anderen zu sehen bekommt. Doch durch Tricks bei der SQL-Anfrage – etwa indem Angreifer bewusst Sonderzeichen wie etwa ein Semikolon in ihre Datenbankabfragen einfügen, die alternative Funktionen der SQL-Sprache auslösen – können Angreifer eventuelle Sperren umgehen. Per SQLI können Hacker etwa eine schlampig programmierte SQL-Eingabemaske auf einer Webseite ausnutzen, um nach und nach den kompletten Inhalt einer SQL-Datenbank auszulesen – oder aber die komplette Datenbank löschen.

Ein Datenbank-Hack per SQLI ist jedoch relativ zeitaufwendig: Die Hacker müssen per Eingabe von Dutzenden verschiedenen SQL-Kommandos auf der zu hackenden Webseite ausprobieren, wie gut der Programmierer der Seite seine jeweilige Datenbank gegen SQLI geschützt hat, und ob eine den Hackern bekannte SQLI-Angriffsvariante vielleicht funktioniert. Eine Datenbank komplett gegen SQLI abzuschotten, ist relativ aufwendig – speziell kleinere Webseiten sind deswegen häufig per SQL-Injection angreifbar.

Eine kleine Gruppe von Hackern aber könnte unmöglich 420.000 Webseiten auf einmal per Hand abfragen. Deswegen hat die von ihren Entdeckern „Cybervor“ getaufte russische Hackergruppe stattdessen ein Angriffswerkzeug programmiert, das diese Abfrage automatisch ausführt. Um ihr Werkzeug zum Masseneinsatz zu bringen, setzten die Täter laut Hold Security auf eine zweite, speziell bei russischen Hackern beliebte Technik für Massenangriffe: Sie nutzten ein sogenanntes Botnetz.

Botnetze sind versteckte Netzwerke von mit dem Internet verbundenen Computern, die irgendwann in der Vergangenheit einmal gehackt wurden – sei es weil ihre Besitzer eine Webseite mit maliziösem Code aufgerufen haben, sei es weil sie einen Mailanhang mit Viruslast geöffnet haben. Die Betreiber der Botnetze installieren auf den gehackten Rechnern lediglich eine verborgene Steuersoftware, mit der sie den Rechner im Bedarfsfall fernsteuern können. Die Besitzer der Rechner merken normalerweise nichts davon, dass ihre Computer einen kleinen Teil ihrer Leistung dafür verwenden, die geheimen Kommandos der Hacker aus der Ferne auszuführen. Interessant für die Hacker ist die geballte Rechenleistung, auf die sie per Fernsteuerung eines Botnetzes zugreifen können – Anfang Juli etwa wurde das Botnetz „Lecpetex“ mit 250.000 beteiligten Rechnern aufgedeckt und seine Kontrollserver in Griechenland offline genommen. Die Botnetz-Betreiber vermieten ihre Netzwerke von Zombie-Rechnern stundenweise an andere Hackergruppen, die die Rechenleistung benötigen.

Die Hacker der Gruppe Cybervor mieteten laut Hold Security seit Anfang 2014 den Zugang zu mehreren Botnetzen, um eine der größten verdeckten Sicherheitsprüfungen der Internetgeschichte auszuführen: Sie installierten über die Botnetz-Fernsteuerungs-Software ihr Werkzeug für automatische SQLI-Angriffe.

Das Werkzeug verfolgte schlicht, welche Webseiten die unwissenden Besitzer der Zombie-Rechner des Botnetzes ansurften. Surften die Besitzer der infizierten Rechner auf einer Webseite mit SQL-Datenbank, prüfte das Cybervor-Werkzeug unbemerkt im Hintergrund, ob SQLI-Angriffe funktionierten, und meldete das Ergebnis der Prüfung an Cyber.

Foren und kleine Shoppingseiten

So konnte Cybervor eine Liste von Hunderttausenden Webseiten samt jeweils passender SQLI-Angriffsvarianten erstellen und diese anschließend systematisch ausnutzen, um den Milliarden-Datenraub auszuführen. Laut Hold Security sind insgesamt 420.000 Webseiten betroffen, darunter vermutlich mehrheitlich kleine Shopping- oder Forumsseiten, die normalerweise keine Hackerangriffe fürchten müssten, da der Aufwand eines SQLI-Hacks in keinem Verhältnis zum Ergebnis stände.

Doch dank des automatisierten Angriffs-Checks konnten die Cybervor-Hacker relativ einfach die Daten aller verwundbaren Seiten abgreifen. Wie umfangreich der Fischzug war, zeigt sich laut Hold Security bei einem Blick in die Rohdaten: Insgesamt wurden 4,5 Milliarden Datensätze aus SQL-Datenbanken geklaut. Da viele Nutzer in über einem Dutzend Datenbanken auf einmal auftauchen – etwa weil sie bei verschiedenen Foren oder Shoppingseiten mit der selben Mailadresse registriert sind – hat Hold Security die Rohdaten gefiltert, Doppelungen herausgestrichen, und kommt so auf die insgesamt über 500 Millionen betroffene Mailadressen.