Home
http://www.faz.net/-gy9-75b9p
HERAUSGEGEBEN VON WERNER D'INKA, BERTHOLD KOHLER, GÜNTHER NONNENMACHER, HOLGER STELTZNER

Invasion-Technik Hacker und Viren in der Rüstungsspirale

So wird spionieren leicht gemacht. Seit einigen Monaten verzeichnen Experten vermehrt Angriffe auf Computer durch die Invasion-Technik. Gut getarnt werden so Viren oder Trojaner in kleine Päckchen aufgeteilt, um sie am Sicherheitssystem vorbeizuschleusen

© F.A.Z. Vergrößern

Sicherheitsexperten schlagen Alarm: Sie verzeichnen seit einigen Monaten zunehmend Angriffe auf Unternehmensnetzwerke, die sich sogenannte Evasion-Methoden zunutze machen. Damit können Computerviren und andere Schadprogramme besonders gut getarnt werden.

Die Angriffsmethode ist ziemlich alt. IT-Fachleute des amerikanischen Militärs hatten von Mitte der neunziger Jahre an eine Technik entwickelt, mit der sie Schadsoftware auf viele hunderttausend Datenpäckchen aufteilen und an Firewalls und andere Einbruchmeldeanlagen der Netzwerke vorbeischleusen. Evasion-Techniques oder übersetzt „Ausweichtechnik“ nannten die beiden Sicherheitsexperten Tim Newham und Thomas Ptacek diese Methode, deren genaue Verfahren sie im Jahr 1998 in einer umfangreichen Forschungsarbeit dokumentierten. Prompt wurden damals eigene Einbruchmeldeanlagen für Unternehmensnetze entwickelt, um Schadsoftware auch dann zu entdecken, wenn sie mit der Ausweichtechnik eingeschleust werden sollte.

Veränderung während des Angriffs

Die taten einige Jahre erfolgreich ihren Dienst. Doch jetzt sind Netzangriffe rekonstruiert worden, bei denen weiterentwickelte Evasion-Techniken angewandt wurden. „Die werden heute in unterschiedlichen Kombinationen verwendet und während des Angriffs dynamisch verändert“, beschreibt Torsten Jüngling, Deutschland-Geschäftsführer des Herstellers von Sicherheitssoftware Stonesoft den neuen Ansatz. Es gibt dafür regelrechte Baukästen, mit denen unterschiedliche Evasion-Techniken zusammengesetzt werden können, um eine Art Bypass um die Sicherheitssysteme zu legen. Entwickelt wurden sie vor allen Dingen für das Militär.

Die Cybertruppen vieler Staaten nutzen Evasion-Techniken gern, um in einem gegnerischen Land sogenannte kritische Infrastrukturen auszuknipsen. Lastverteilungsrechner der Stromnetze, Steuerungscomputer in Raffinerien und anderen Industrieanlagen, Verkehrsleitrechner oder Bankencomputer wurden zum Angriffsziel von Hackern. „Besonders überzeugen die Tarnmöglichkeiten bei den Evasion-Techniken“, meint Jarno Limnéll, Militärexperte für digitale Kriegführung und früher langjähriger Dozent für die Taktik des Cyberwar an der finnischen National Defense University in Helsinki. Dabei wird Schadsoftware in viele Hunderttausende von Bithäppchen aufgeteilt. Jedes dieser Bithäppchen wird in ein Datenpäckchen gepackt, und die werden nacheinander an den Zielrechner verschickt.

Einschleusen von Viren und Trojanern

Auf dem Zielrechner werden die Bithäppchen wieder zu einer richtigen Schadsoftware, zum Beispiel einem Trojaner, zusammengesetzt. Diese Schadsoftware lädt dann weitere logische Bomben oder Spionageprogramme auf den Zielrechner, der ausgeforscht oder manipuliert werden kann. Auch schon bekannte Computerviren können mit Evasion-Technik leicht eingeschleust werden, weil die Antivirenprogramme in den zerstückelten Bithäppchen keine Virensignaturen erkennen können. Einen gewissen Schutz bietet Sicherheitssoftware mit sogenannten Normalisierungs-Algorithmen.

„Bei der Normalisierung werden alle Datenpäckchen in einer besonders geschützten Sandbox auf einem separaten Sicherheitsrechner so zusammengesetzt, wie sie auch die Kommunikationssoftware auf dem Zielrechner aneinanderreihen würde“, erklärt Limnéll das Verfahren. Danach werden die zusammengefügten Datenpakete auf Schadsoftware untersucht. So kann ein Computervirus nicht mehr bithäppchenweise an den Sicherheitssystemen vorbei auf das Zielsysteme geschleust werden.

Identifizierung wird schwieriger

Doch weiterentwickelte Evasion-Techniken unterlaufen auch diesen Kniff. Sie verschlüsseln den Schadcode zum Beispiel bei einem Computervirus, so dass auch nach der Normalisierung keine Virensignatur erkannt werden kann. „Ein weiteres beliebtes Verfahren ist die Veränderung der Größe von Datenpäckchen“, schildert Jarno Limnéll. Außerdem werden die Segmente dynamisch verändert, in denen der Schadcode im Datenpäckchen abgelegt ist. „Damit kann die Identifizierung von Viren und anderen Schadprogrammen bei der Normalisierung nachhaltig verschleiert werden.“

Auch Sicherheitssoftware, die mit Algorithmen für die Verhaltensanalyse arbeitet, versagt hier oft. Diese Algorithmen prüfen zum Beispiel, ob eine Software auf bestimmte Speicheradressen zugreift, auf die Computerviren gern zugreifen, um das System zu manipulieren. Die Angreifer schleusen deshalb zunächst Spionagesoftware ein, die detailliert erkundet, wie die Verhaltensanalyse des Zielsystems genau auf das Anspringen verschiedener Speicheradressen reagiert. In einem zweiten Schritt werden von der Verhaltensanalyse auf dem Zielsystem nicht beanstandete Speicheradressen in das Exploit genannte Angriffsprogramm eingebaut.

Ein solches Schadprogramm wird dann mit der Ausweichtechnik - aufgeteilt auf Abertausende von Datenpäckchen - auf den Zielrechner gebracht und ausgeführt. Die Verhaltensanalyse beanstandet diese Programmausführung nicht, weil nur „saubere“ und angeblich unkritische Speicheradressen angesprungen werden. „Hier hilft nur ein ganzheitlich angelegtes Sicherheitssystem, das über alle Protokollebenen den Datenverkehr überwacht und eine sensible Anomaliendetektion aufweist“, meint Jarno Limnéll. Doch dadurch steigt der Sicherheitsaufwand enorm. Deshalb schrecken viele IT-Verantwortliche vor solchen ganzheitlichen Ansätzen zurück.

Mehr zum Thema

Quelle: F.A.Z.

 
 ()
   Permalink
 
 
 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
Digitale Rechtschreibung Wir stottern, weil die Software es so will

Peggy’s Friseur Salon: Fahren Autokorrektursysteme die deutsche Rechtschreibung endgültig an die Wand? Zumindest bringen sie vieles auseinander, das eigentlich zusammengehört. Mehr Von Constanze Kurz

14.12.2014, 17:13 Uhr | Feuilleton
Ungarn demonstrieren gegen gläsernen Fußballfan

Die Emotionen kochen derzeit hoch, bei den Fans des Budapester Fußballclubs Ferencváros. Mehrere Hundert von ihnen kamen jüngst in der ungarischen Hauptstadt zusammen, um dem Spiel ihrer Mannschaft vor der Arena beizuwohnen. So wollten sie gegen ein Sicherheitssystem demonstrieren, das bald in Fußballstadien weltweit Schule machen könnte. Mehr

10.10.2014, 17:33 Uhr | Sport
Crashtest Kommt ein Volvo geflogen

Bei der Fahrzeugsicherheit waren die Schweden schon immer Vorreiter. Der neue SUV XC90 erhält das Sicherheitssystem Run off Road nun serienmäßig. Dazu wurden auch drei weitere Crashtest-Verfahren entwickelt. Mehr Von Boris Schmidt

09.12.2014, 09:44 Uhr | Technik-Motor
Angriffe gegen IS-Miliz Luftschläge in Kobane werden präziser

Die Amerikaner haben nach eigenen Angaben in den vergangenen Tagen 18 Angriffe auf die radikalislamische IS-Miliz nahe der nordsyrischen Stadt Kobani geflogen. Sie werden nach kurdischen Angaben genauer und effektiver, da die Zusammenarbeit inzwischen besser funktionieren soll. Mehr

16.10.2014, 09:21 Uhr | Politik
Cyber-Attacken Schaden durch Hacker wird immer größer

Der Hackerangriff auf Sony führt der Welt wieder vor, wie anfällig große Computernetze für Attacken sind. Kürzlich konnte auch ein Hochofen nach einem Angriff nicht mehr richtig gesteuert werden. Versicherer entdecken das Risiko als künftiges Geschäftsfeld. Mehr Von Philipp Krohn

20.12.2014, 13:32 Uhr | Wirtschaft
   Permalink
 Permalink

Veröffentlicht: 23.12.2012, 19:14 Uhr

Voll daneben

Von Boris Schmidt

Für die größte Veränderung der vergangenen Jahre im täglichen Umgang mit dem Automobil hat gewiss das Vorhandensein der schlauen Beifahrerin gesorgt. Mehr 1

Hinweis
Die Redaktion