Die Nachricht vom Dateneinbruch in das Playstation Network von Sony war erst wenige Stunden alt, da wurden sofort die angeblichen Täter und ihre Angriffsmethode in den verschiedenen Internet-Foren diskutiert. Angehörige der Spaßguerilla-Truppe "Anonymous" hätten eine Denial-of-Service-Attacke gestartet und Aber-Milliarden Datenpäckchen auf die Datenbankserver des Playstation Network abgefeuert, die daraufhin in die Knie gegangen seien. Und das wiederum habe einen Einbruch ermöglicht, so hieß es.
Doch die Anonymous-Gruppe dementierte sofort:
"Wir waren es diesmal nicht, wir schädigen keine Nutzer des Playstation Network",
erklärten sie in einem Video. Und die angebliche Denial-of-Service-Attacke war dann auch bald vom Tisch. Denn auch Sony bestätigte, eine D-Dos-Attacke sei es wohl nicht gewesen. Dafür wurde eine andere Angriffsmethode genannt, eine SQL-Injection. Sicherheitsberater Sebastian Schreiber aus Tübingen erläutert diese Einbruchsmethode so:
"Die SQL-Injektion ist ein spannender Angriff, der wie folgt funktioniert: wenn Sie bei einer Web-Anwendung Ihren Login-Namen eingeben, und Ihr Passwort, dann muss ja der Server in der Lage sein, zu prüfen, ob Login-Name und Passwort zusammenpassen und Sie wirklich der Benutzer sind, als der sie sich ausgeben. Zu diesem Zweck muss auf Seiten des Servers eine Datenbank befragt werden. Das heißt, das, was sie eingetippt haben, ihren Namen und das Passwort, wird in einen SQL-Befehl eingebettet. Das wird also Bestandteil einer Datenbankabfrage. Wenn sie jetzt hergehen und statt Ihren Namen Sonderzeichen eintippen, können Sie erzwingen, dass aus dem, was Sie als Ihren Namen und als Ihr Passwort eingegeben haben, ein Befehl zusammengebastelt wird, der dann hinterher von der Web-Anbindung an den Datenbankserver geschickt wird."
In der Regel soll eine Filtersoftware bei der Eingabeprüfung verhindern, dass statt eines Benutzernamens und eines Passwortes ein manipulierter Datenbankbefehl an das Datenbanksystem geschickt wird. Zwar weisen diese Filterprogramme zahlreiche Schwachstellen auf und insbesondere während der vergangenen Monate hat sich gezeigt, dass sie leicht ausgetrickst werden können. Aber Kritiker wandten sofort ein, solche Angriffe mittels SQL-Injektionen würden üblicherweise bei Web-Anwendungen durchgeführt, und das Playstation Network sei ja nun gerade keine typische Web-Anwendung. Muss es auch nicht, meint Sicherheitsberater Schreiber.
"Auch das, was sie an der Playstation an Daten vorhalten, wird ja irgendwie zum Applikationsserver hingeschickt, und diese Applikationsserver baut daraus Datenbank-Abfragen. Da werden auch Benutzernamen und Ähnliches transportiert. Auch hier besteht also die Möglichkeit, dass ein Täter hier eigenen Schadcode eingebettet hat."
So könnte der Datendiebstahl bei Sony sogar von einer Playstation, also einer Spielekonsole aus gestartet worden sein. Doch auch eine zweite Angriffsvariante erscheint den Sicherheitsexperten als mögliche Vorgehensweise plausibel: Der Angriff mit einem Computervirus.
"Hier würde der Angriff dergestalt funktionieren, dass der Täter einem Mitarbeiter von Sony eine präparierte E-Mail geschickt hat, in der sich zum Beispiel eine Excel-Tabelle befindet oder ein PDF-Dokument. Und diese Excel-Tabelle beinhaltet wieder etwas anderes, was auf dem PC des Opfers Schaden anrichtet. Typisch wäre hier zum Beispiel eine Flash-Applikation, die eingebettet ist in ein Excel-Dokument. Und sobald das Opfer, der Sony Mitarbeiter, dieses Excel-Dokument öffnet, geschieht etwas, typischerweise eine Trojanisierung des Arbeitsplatz-PC des Sony-Mitarbeiters. Wenn unser Täter einen Sony-Mitarbeiter erwischt, der Zugriff auf die Datenbank hat, zum Beispiel ein Systemadministrator, dann hat er die Möglichkeit, die gesamte Datenbank über diesen Weg auszuspähen."
Ganz gleich, auf welchem Weg die Online-Krimnellen sich Zugang zu den Kundendaten von Sony verschafft haben: Auf jeden Fall sind einige Sicherheitsvorkehrungen nicht oder nur unzureichend getroffen worden.
Doch die Anonymous-Gruppe dementierte sofort:
"Wir waren es diesmal nicht, wir schädigen keine Nutzer des Playstation Network",
erklärten sie in einem Video. Und die angebliche Denial-of-Service-Attacke war dann auch bald vom Tisch. Denn auch Sony bestätigte, eine D-Dos-Attacke sei es wohl nicht gewesen. Dafür wurde eine andere Angriffsmethode genannt, eine SQL-Injection. Sicherheitsberater Sebastian Schreiber aus Tübingen erläutert diese Einbruchsmethode so:
"Die SQL-Injektion ist ein spannender Angriff, der wie folgt funktioniert: wenn Sie bei einer Web-Anwendung Ihren Login-Namen eingeben, und Ihr Passwort, dann muss ja der Server in der Lage sein, zu prüfen, ob Login-Name und Passwort zusammenpassen und Sie wirklich der Benutzer sind, als der sie sich ausgeben. Zu diesem Zweck muss auf Seiten des Servers eine Datenbank befragt werden. Das heißt, das, was sie eingetippt haben, ihren Namen und das Passwort, wird in einen SQL-Befehl eingebettet. Das wird also Bestandteil einer Datenbankabfrage. Wenn sie jetzt hergehen und statt Ihren Namen Sonderzeichen eintippen, können Sie erzwingen, dass aus dem, was Sie als Ihren Namen und als Ihr Passwort eingegeben haben, ein Befehl zusammengebastelt wird, der dann hinterher von der Web-Anbindung an den Datenbankserver geschickt wird."
In der Regel soll eine Filtersoftware bei der Eingabeprüfung verhindern, dass statt eines Benutzernamens und eines Passwortes ein manipulierter Datenbankbefehl an das Datenbanksystem geschickt wird. Zwar weisen diese Filterprogramme zahlreiche Schwachstellen auf und insbesondere während der vergangenen Monate hat sich gezeigt, dass sie leicht ausgetrickst werden können. Aber Kritiker wandten sofort ein, solche Angriffe mittels SQL-Injektionen würden üblicherweise bei Web-Anwendungen durchgeführt, und das Playstation Network sei ja nun gerade keine typische Web-Anwendung. Muss es auch nicht, meint Sicherheitsberater Schreiber.
"Auch das, was sie an der Playstation an Daten vorhalten, wird ja irgendwie zum Applikationsserver hingeschickt, und diese Applikationsserver baut daraus Datenbank-Abfragen. Da werden auch Benutzernamen und Ähnliches transportiert. Auch hier besteht also die Möglichkeit, dass ein Täter hier eigenen Schadcode eingebettet hat."
So könnte der Datendiebstahl bei Sony sogar von einer Playstation, also einer Spielekonsole aus gestartet worden sein. Doch auch eine zweite Angriffsvariante erscheint den Sicherheitsexperten als mögliche Vorgehensweise plausibel: Der Angriff mit einem Computervirus.
"Hier würde der Angriff dergestalt funktionieren, dass der Täter einem Mitarbeiter von Sony eine präparierte E-Mail geschickt hat, in der sich zum Beispiel eine Excel-Tabelle befindet oder ein PDF-Dokument. Und diese Excel-Tabelle beinhaltet wieder etwas anderes, was auf dem PC des Opfers Schaden anrichtet. Typisch wäre hier zum Beispiel eine Flash-Applikation, die eingebettet ist in ein Excel-Dokument. Und sobald das Opfer, der Sony Mitarbeiter, dieses Excel-Dokument öffnet, geschieht etwas, typischerweise eine Trojanisierung des Arbeitsplatz-PC des Sony-Mitarbeiters. Wenn unser Täter einen Sony-Mitarbeiter erwischt, der Zugriff auf die Datenbank hat, zum Beispiel ein Systemadministrator, dann hat er die Möglichkeit, die gesamte Datenbank über diesen Weg auszuspähen."
Ganz gleich, auf welchem Weg die Online-Krimnellen sich Zugang zu den Kundendaten von Sony verschafft haben: Auf jeden Fall sind einige Sicherheitsvorkehrungen nicht oder nur unzureichend getroffen worden.