Sicherheit wiederherstellen

Ich wurde gehackt - was nun ?

Einmal angenommen man hat eben kein automatisches Windows Update verwendet, und auch die Patches nicht manuall installiert. Jetzt hat es einen erwischt. Man wurde gehackt: Was nun ?

In diesem Fall gibt es eigentlich nur schlechte Nachrichten: Praktisch nichts hilft um das System wieder sauber zu bekommen:

Zunächst einmal ist es so, das man ein System in das bereits eingedrungen wurde nicht durch einen Patch säubern kann. Der Patch (oder Windows-Update) beseitigt nur die Verwundbarkeit. Ist aber ein Hacker erst einmal im System gewesen wird er fast immer sichergestellt haben, das er auf verschiedene Arten erneut ins System gelangen kann.

Man bekommt das System auch nicht sauber indem man die Backdoors entfernt die der Hacker hinterlassen hat. Und zwar deshalb, weil man nicht weiss wie viele Türen der Hacker tatsächlich für sich hinterlassen hat. Die Tatsache das man keine weiteren Türen mehr finden kann bedeutet dabei gar nichts: Nur weil man nichts mehr findet heist das nicht, das nicht noch weitere Türen im System ist. Das System kann sogar so stark kompromittiert sein, das es schlicht nicht möglich ist einige Türen aufzuspüren.

Auch Tools zum entfernen von Würmern sind nicht wirklich hilfreich. Microsoft und andere Hersteller haben solche Tools veröffentlich - und damit wird man die von einem bekannten Wurm hinterlassenen Türen sicherlich los: Was aber ist mit den anderen Einlässen die der Hacker nach der übernahme des Systems noch eingebaut hat - die aber eben nicht von diesen Tools entfernt werden?

Auch Anti-Virus Programme nützen nichts. Man kann einem kompromittiertem System schlicht und ergreifend nicht trauen: Angenommen der Antivirenscanner untersucht das System nach bestimmten Kriterien - was hält den Hacker davon ab für diesen Fall Tools platziert zu haben, die das System und den Virenscanner belügen? Nichts!

Auch eine erneute Installation des Betriebssystems über die vorhandene Installation bringt nichts. Der Hacker kann auch hier Tools platziert haben die den Installer über die vorliegende Installation belügen. Der wiederum wird deshalb kompromittierte Teile des Systems nicht mit den Originalen überschreiben - die Neuauflage des Systems wäre dann genauso kompromittiert wie die vorige Variante. Völlig abgesehen davon: Der Hacker kann natürlich auch in Programmen die nicht zum Betriebssystem gehören Backdoors eingebaut haben - und die werden beim überspielen des vorhandenen Systems natürlich nicht ausgetauscht.

Man vertraut auch besser keinen Daten eines kompromittierten Systems: Die können natürlich ebenfalls gefälscht sein. Das gilt im besonderen für die Event-Logs die man mit der Ereignisanzeige betrachten kann: Hier kann der Hacker eintragen was immer er will - oder aber er hat sogar ein Programm platziert das Ihnen einfach anzeigt was immer der Hacker will, nur eben NICHT den Inhalt des Event-Logs.

Der einzige verlässliche Weg ein einmal kompromittiertes System wieder vertrauenswürdig zu machen ist der: Platte(n) formatieren und neu installieren. Klingt hat, ist aber unumgänglich: Nach dem formatieren muss zunächst das System (von einem nicht kompromittierten Medium) und dann alle Anwendungen neu installiert werden. Daran geht einfach kein Weg vorbei.

Danach wäre es dann sicherlich eine gute Idee, Windows Update einzuschalten und auch die Firewall zu aktivieren.

Artikel kommentieren