Samstag, 18.11.2017
StartseiteComputer und KommunikationGetarnte Schädlinge24.11.2012

Getarnte Schädlinge

Warum Cyber-Angriffe mit Evasion-Technik besonders gefährlich sind

Die sogenannten Advanced Evasion Techniques werden auch als die "Tarnkappenbomber des Internets" bezeichnet. Von der üblichen Sicherheitssoftware und Schutzhardware werden jene Techniken nicht erkannt und können so problemlos Trojanische Pferde und andere Schadsoftware in fremde Netzwerke einschleusen.

Von Peter Welchering

Strommetze, Raffinerien, Bankencomputer: Vor den Evasion-Techniken ist so gut wie nichts sicher. (Stock.XCHNG / Carsten Müller)
Strommetze, Raffinerien, Bankencomputer: Vor den Evasion-Techniken ist so gut wie nichts sicher. (Stock.XCHNG / Carsten Müller)

"Es macht mir Sorge, dass es so viel Anwendungswissen für Angriffe mit Evasion-Technik gibt, um in verschiedene Systeme einzudringen. Und die Schutzeinrichtungen können diese Angriffe nicht identifizieren. Evasion-Technik kann die Sicherungseinrichtungen einfach umgehen, wann immer der Angreifer es will. In Unternehmen und in der Sicherheitsindustrie wird dieses Problem geleugnet",

Manfred Kloiber: sagt Jarno Limnell, Sicherheitsberater, Militärexperte für digitale Kriegsführung und langjähriger Dozent für die Taktik des Cyberwar an der Nationalen Verteidigungsuniversität Helsinki im Deutschlandfunk-Interview. Der finnische Sicherheitsexperte warnt eindringlich vor den "Tarnkappenbombern im Internet", die sogenannten Advanced Evasion Techniques. Was macht diese Angriffe so gefährlich, Peter Welchering?

Peter Welchering: Sie werden von der üblichen Sicherheitssoftware und Schutzhardware nicht erkannt. Firewalls und sogar die sogenannten Intrusion Prevention Systeme, die Einbruchmeldeanlagen, erkennen Computerviren, Trojanische Pferde und andere Schadsoftware nicht, die mit solchen Evasion Techniques eingeschleust wurden. Deshalb sind die Cyber-Militärs auch so furchtbar begeistert, für sie sind diese Evasion-Techniken der automatische Bypass um die Sicherheitssysteme eines Netzwerks herum. Es gibt regelrechte Baukästen, mit denen unterschiedliche Evasion-Techniken zusammengesetzt werden können, damit dann zum Beispiel kritische Infrastrukturen in einem gegnerischen Land einfach so ausgeknipst werden können. Raffinerien, Strommetze, Bankencomputer, Verkehrsleitrechner – vor den Evasion-Techniken ist nichts sicher.

Kloiber: Mit welchen Angriffsmethoden die Tarnkappenbomber fürs Netz genau arbeiten und wie sie Schadsoftware in fremde Netzwerke einschleusen, haben wir in einem Überblicksbeitrag einmal zusammengestellt.


Beginn Beitrag:

Die Angriffsmethode ist eigentlich schon ziemlich alt. Die IT-Experten des amerikanischen Militärs hatten schon Mitte der 90er-Jahre eine Technik entwickelt, mit der sie Schadsoftware auf viele hunderttausend Datenpäckchen aufteilen und an den Firewalls und den Einbruchmeldeanlagen der Netzwerke vorbeischmuggeln. "Ausweichtechnik", Evasion-Technique, so nannten die beiden Sicherheitsexperten Tim Newsham und Thomas Ptacek diese Methode, die sie im Jahr 1998 in einer umfangreichen Forschungsarbeit ziemlich genau dokumentiert haben. Inzwischen wenden fast alle Cyberarmeen dieser Welt diese Ausweichmethode an. Torsten Jüngling, Deutschland-Geschäftsführer des Herstellers von Sicherheitssoftware Stonesoft:

"Evasion Techniques sind in der Tat keine neue Erfindung. Die gibt es seit Ende der 90er-Jahre, und sie sind gut dokumentiert. Was faszinierend ist, ist, wenn man diese Evasions heute in einer Kombination und auch dynamisch während eines Angriffes anwendet. Und diese Kombination aus Evasions nennen wir advacend Evasions. Auch haben wir festgestellt, dass es nicht nur die bekannten Evasions gibt, die auch in der Literatur bekannt sind, sondern wir entdecken auch täglich neue Lücken oder Tarnungsmöglichkeiten in Protokollen, die wir mit dazunehmen und auch wieder mit in die Kombination nehmen, so dass es Millionen von Millionen von Möglichkeiten gibt, diese Evasions zu kombinieren."

Und diese neuen Tarnmöglichkeiten, die Neuauflage der Evasion Techniken nennen die Experten "Advanced Evasion Techniques". Dabei wird Schadsoftware in abertausende von Bit-Häppchen aufgeteilt. Jedes dieser Bit-Häppchen wird in einem Datenpäckchen verstaut. Und die werden nacheinander verschickt. Torsten Jüngling:

"Ich schicke zum Beispiel eine Paketlänge, und diese Paketlänge beinhaltet zum Beispiel auch einen Teil eines Schadcodes. Das ist aber nicht der vollständige Teil. Die IT-Infrastruktur kann aufgrund der Signatur den Teil dieses Schadcodes nicht erkennen, erkennt aber vielleicht, dass da irgendetwas komisches ist. Zehn oder 12 s später schicke ich dann den zweiten Teil des Schadcodes. Das IT-System, das es eigentlich entdecken soll, kann es nicht tun, weil ihr Timer auf 8 s oder 5 s sitzt und so kommen die beiden Teile des Schadcodes dann durch."

Auf dem Zielrechner werden die Bithäppchen wieder zur ursprünglichen Schadsoftware zusammengesetzt. Und die verrichtet dann ihren verheerenden Dienst. Diese Angriffsmethode nutzt aus, dass die Internet-Protokollfamilie den Empfang von Datenpäckchen sehr freizügig regelt. Entgegengenommen werden sollen möglichst alle Datenpäckchen. Der annehmende Rechner soll davon ausgehen, dass die Datenpakete vom Absender auf Fehlerfreiheit und Korrektheit überprüft worden sind. Als die Operatoren der Internet-Knotenrechner sich noch alle persönlich kannten, in der Gründerzeit des Internets war die Methode noch zuverlässig - heute aber ist sie ein Sicherheitsrisiko. Und gegenüber den weiterentwickelten Methoden, den "Advanced Evasion Techniques", ist auch moderne Schutzsoftware ziemlich machtlos.

"Alle IT-Systeme, alle Intrusion Prevention Systeme haben einen gewissen Schutz vor Evasions. Sie müssen sich es aber etwas dynamischer vorstellen. Wenn ich jetzt anfange, die Paketlängen zu verändern, den Timer zu verändern, ich gehe jetzt auch auf eine andere TCP/IP-Ebene, kombiniert diese ganzen Anomalien, dann erkennt das ein normales System nicht mehr. Abhilfe schafft tatsächlich nur ein System, das über alle Protokollebenen hinweg den kompletten Verkehr überwachen kann und auch auswerten kann. Man nennt das Normalisierung."

Bei der Normalisierung werden alle Datenpakete von einem eigenen Sicherheitsrechner so zusammengesetzt. So, wie sie auch das Empfängersystem aneinanderreihen würde. Dann erst werden die zusammengefügten Datenpakete nach Schadsoftware untersucht. Die Schadsoftware kann also nicht mehr bithäppchenweise an den Sicherheitssystemen vorbei auf das Zielsystem geschleust werden.

Zum Themenportal "Risiko Internet"

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk