Research Security Hacker dringt mit Leichtigkeit in Systeme von großen Tech-Konzernen ein
Ein Hacker schaffte es, in die Systeme von über 35 Konzernen einzudringen und verwendete dabei jedes Mal die gleiche Methode. Dank seiner Arbeit konnten die Sicherheitslücken von den teils sehr prominenten Unternehmen geschlossen werden, weshalb ein Bonus von 130.000 US-Dollar auf den Profi-Hacker wartete.
Werte in diesem Artikel
Research Security Hacker dringt in große Konzerne ein
Mit zunehmender Digitalisierung im Privat- und Berufsleben wächst das Risiko, Ziel von Cyber-Attacken zu werden. Ob sensible private Daten oder Unternehmensinformationen: Wenn Hacker Sicherheitslücken in Systemen finden, verschaffen sie sich häufig freien Zugriff auf jegliche Daten.
Wie einfach dieser Zugang erlangt werden kann, hat ein Security Research Hacker in den USA am Beispiel von insgesamt über 35 Tech-Firmen gezeigt und hackte sich unter anderem in die Systeme von Apple, Microsoft, PayPal, Netflix, und Tesla.
Dabei verwendete er eigenen Angaben zufolge die Methode der "Dependency Confusion" - "Abhängigkeitsverwirrung" - um in die Systeme der Firmen vordringen zu können.
Dependency Packages
Bei dem Research Hacker handelt sich um Alex Birsan, welcher in einem Blog-Beitrag detailliert erläutert, wie er mit seiner Methode Zugriff auf die Systeme erlangte, indem er die von ihm als "Dependency Confusion" bezeichneten Schwachstellen ausnutzte, um Malware auf den Systemen zu installieren.
Dabei hat er es gezielt auf die inneren Systeme der jeweiligen Unternehmensnetzwerke abgesehen. Birsan überspielte privat genutzte "Dependency Packages" mit öffentlichen Malware-Packages, die den gleichen Namen trugen. Diese öffentlichen Packages können auf bestimmte Server hochgeladen werden, die Unternehmen für bestimmte Software nutzten. Landet ein solches Malware-Package bei einem Unternehmen und lädt beispielsweise ein Firmen-Admin dieses Package fälschlicherweise herunter, ist die Malware im System der Firma.
In der Regel wird die Malware in Repositories von Programmierprogrammen wie Python, Noder oder RubyGems verpackt. Hierbei setzten die Hacker bislang darauf, dass die Admins Buchstabendreher bei Downloads von den Skripten einbauten und entsprechend das verseuchte Skript anstelle des regulären Skripts herunterladen.
Brisan hat diese Methode allerdings weiterentwickelt, um die Erfolgschancen eines Angriffs zu erhöhen.
Die Versionsnummer ist ausschlaggebend
Der Research Hacker konnte im Zuge seiner Bemühungen explizit definieren, welche öffentlichen Codes von Github und PayPal eingesetzt werden. Hierdurch konnte er die "Dependencies" explizit identifizieren, die Namen für seine Malware-Codes einsetzen und die "Dependencies" ebenfalls in die öffentlichen Repositories laden.
So erhöhte sich die Infektionsrate der Systeme erheblich, wie Brisan kommentiert. Der Erfolg ist allerdings nicht allein den übereinstimmenden Namen geschuldet, sondern vielmehr einem weiteren kleinen aber für das Vorhaben wichtigen Detail. Wenn Python-Dependencies installiert werden sollen, verwenden die Coder einen bestimmten Befehl (pip insatll library) mit dem Zusatz "-extra-index-url", worauf lokal sowie online nach dem Dependency gesucht wird.
Findet das System mehrere gleichnamige Dependencies, so wird stets das mit der höheren Versionsnummer heruntergeladen. Dementsprechend bezeichnete Brisan seine Schadsoftware mit einer sehr hohen Versionsnummer, um den automatisierten Installationsprozess zu überlisten.
Für diesen Hinweis erhielt der Hacker einen Bonus von 130.000 US-Dollar, da die Unternehmen den Systemablauf entsprechend anpassten und diese Sicherheitslücke nun schließen konnten.
Henry Ely / Redaktion finanzen.net
Ausgewählte Hebelprodukte auf Apple
Mit Knock-outs können spekulative Anleger überproportional an Kursbewegungen partizipieren. Wählen Sie einfach den gewünschten Hebel und wir zeigen Ihnen passende Open-End Produkte auf Apple
Der Hebel muss zwischen 2 und 20 liegen
| Name | Hebel | KO | Emittent |
|---|
| Name | Hebel | KO | Emittent |
|---|
Weitere News
Bildquellen: BeeBright / Shutterstock.com
Nachrichten zu Tesla
Analysen zu Tesla
| Datum | Rating | Analyst | |
|---|---|---|---|
| 10.01.2025 | Tesla Buy | Deutsche Bank AG | |
| 03.01.2025 | Tesla Buy | Deutsche Bank AG | |
| 03.01.2025 | Tesla Underweight | JP Morgan Chase & Co. | |
| 02.01.2025 | Tesla Outperform | RBC Capital Markets | |
| 02.01.2025 | Tesla Sell | UBS AG |
| Datum | Rating | Analyst | |
|---|---|---|---|
| 10.01.2025 | Tesla Buy | Deutsche Bank AG | |
| 03.01.2025 | Tesla Buy | Deutsche Bank AG | |
| 02.01.2025 | Tesla Outperform | RBC Capital Markets | |
| 10.12.2024 | Tesla Buy | Deutsche Bank AG | |
| 26.11.2024 | Tesla Outperform | RBC Capital Markets |
| Datum | Rating | Analyst | |
|---|---|---|---|
| 02.01.2025 | Tesla Hold | Jefferies & Company Inc. | |
| 14.11.2024 | Tesla Hold | Jefferies & Company Inc. | |
| 24.10.2024 | Tesla Hold | Jefferies & Company Inc. | |
| 22.10.2024 | Tesla Hold | Jefferies & Company Inc. | |
| 11.10.2024 | Tesla Neutral | Goldman Sachs Group Inc. |
| Datum | Rating | Analyst | |
|---|---|---|---|
| 03.01.2025 | Tesla Underweight | JP Morgan Chase & Co. | |
| 02.01.2025 | Tesla Sell | UBS AG | |
| 27.12.2024 | Tesla Sell | UBS AG | |
| 20.12.2024 | Tesla Verkaufen | DZ BANK | |
| 04.12.2024 | Tesla Underperform | Bernstein Research |
Um die Übersicht zu verbessern, haben Sie die Möglichkeit, die Analysen für Tesla nach folgenden Kriterien zu filtern.
Alle: Alle Empfehlungen