Forscher entwickeln Abwehrsystem gegen Cyber-Angriffe

Geheimdienste kapern mit der Spionage-Software „Hacienda“ weltweit Computer, um sie für ihre Zwecke zu manipulieren. Forscher der TU München haben dagegen nun ein Mittel gefunden. Die Tarnkappe-Software TCP Stealth macht Computer im Netz unsichtbar. Der Client wird durch einen geheimen Code nur vom Server des Providers erkannt.

Mit der Spionagesoftware „Hacienda“ identifizieren fünf westliche Geheimdienste angreifbare Rechner weltweit, um sie übernehmen und für eigene Zwecke nutzen zu können. Wissenschaftler der Technischen Universität München (TUM) haben eine freie Software entwickelt, die dabei helfen kann, eine solche Identifizierung und damit auch eine Kaperung der Computer zu verhindern.

Portscanner sind Programme, die im Internet nach Systemen suchen, die potentielle Schwachstellen aufweisen. Einem Bericht zufolge ist „Hacienda“ ein solcher Portscanner. Betrieben wird er demnach von den „Five Eyes“, einem Zusammenschluss der Geheimdienste der USA, Kanadas, Großbritanniens, Australiens und Neuseelands. „Das Ziel ist es, möglichst viele Rechner in anderen Ländern zu identifizieren, die übernommen werden können“, erklärt Christian Grothoff, Emmy-Noether-Gruppenleiter am Lehrstuhl für Netzarchitekturen und Netzdienste der TUM.

Grothoff hat mit Studierenden der TUM die Verteidigungs-Software „TCP Stealth“ entwickelt, die die Erkennung von Systemen im Internet durch diese und ähnliche Cyberangriff-Software verhindern kann. Und damit auch die ungezielte und massenhafte Übernahme von Rechnern weltweit, wie der IT-Experte erklärt. Es handelt sich um freie Software, für deren Einsatz bestimmte Systemvoraussetzungen und Computerkenntnisse notwendig sind, wie etwa ein GNU/Linux-Betriebssystem. Um einen breiten Einsatz in Zukunft möglich zu machen, soll sie weiterentwickelt werden.

Die Verbindung eines Nutzers mit einem Server im Internet funktioniert nach dem sogenannten Transmission Control Protocol (TCP). Zunächst muss sich ein Nutzer bei einem Dienst identifizieren. Dazu wird ein Datenpaket an den Server geschickt. „Damit fragt der Nutzer: Bist du da?“, erklärt Grothoff. Der Dienst antwortet dem Nutzer auf die Anfrage. In dieser Antwort stecken manchmal bereits Informationen, die für einen Angriff genutzt werden können.

Geheimer Code und Prüfnummer

Die neue freie Software der TUM-Forscher basiert auf folgendem Prinzip: Es existiert eine  Zahl, die nur dem Client-Rechner und dem Server bekannt ist. Auf Basis dieser Zahl wird ein geheimer Code generiert, der unsichtbar während des Verbindungsaufbaus zum Server gesandt wird. Ist der Code nicht korrekt, antwortet das System nicht. Der Dienst stellt sich „tot“. Ähnliche Abwehr-Maßnahmen sind zwar bereits bekannt, allerdings ist das Schutzniveau der neuen Software höher.

„TCP Stealth“ schützt im Gegensatz zu bereits existierender Verteidigungs-Software auch gegen eine weitere Variante eines solchen Cyberangriffs. Dieser besteht darin, dass in den laufenden Datenstrom zwischen Nutzer und Server eingegriffen wird, nachdem bereits eine Verbindung aufgebaut wurde. Die Daten, die vom Nutzer an den Server gesendet wurden, werden dabei abgefangen und durch andere Informationen ersetzt. Der Brief wird sozusagen, nachdem er in den Postkasten geworfen wurde, aus dem Umschlag genommen und durch einen anderen Brief ersetzt.

Um das zu verhindern, wird mit dem ersten Verbindungsaufbau auch noch eine Prüfnummer gesendet. Diese kann der Server nutzen, um zu erkennen, ob er die richtigen Inhalte erhalten hat. Experten, die die freie Software einsehen, einsetzen oder weiterentwickeln möchten, können sie unter https://gnunet.org/knock herunterladen.

Kommentare

Dieser Artikel hat 3 Kommentare. Wie lautet Ihrer?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  1. Michael aus dem Paradies sagt:

    Wenn es etwas Derartiges geben würde, wäre sofort die NSA auf dem Plan und würde die Entwickler erpressen, ein Türchen offen zu lassen…

  2. Signorita sagt:

    Nichts ist sicher ! Die Site noch auf Englisch, sowieso falsch und macht verräterischen EIndruck.

    Entweder wird ein Port offen gelassen, was heist der Empfänger ist angreifbar, oder der Empfänger scannt regelmässig alle Pakete was ihn wieder angreifbar macht. Wie das Protokol am Schluss heisst ist egal, Datenpakete sind nun mal Trafic und den gilt es zu entschlüsseln. Tönt gut, ist aber keine taugliche Lösung und erinnert mich an Enigma 2.WK, da meinten auch alle.

  3. Peter G. sagt:

    Sollte mich nicht wundern, wenn der Einsatz dieser Software aus „datenschutzrechtlichen Gründen“ verboten würde. Es kann ja nicht angehen, die im Interesse aller erfolgende Späharbeit der Dienste zu behindern.