IT-Sicherheit: TU München mit Abwehrsystem gegen "Hacienda"

    Mithilfe der Spionagesoftware "Hacienda" überprüfen die Geheimdienste NSA (USA), GCHQ (Großbritannien) und CSEC (Kanada) weltweit systematisch Rechner und Netzwerksysteme auf Schwachstellen hin. Dabei kommt laut diesem Bericht von Heise Online vom 15. August zufolge das gute alte Port-Scanning zum Einsatz.

    Das Ziel dieser Aktion, die unter dem Namen Hacienda läuft: Zum einen Zugriff auf möglichst viele IT-Systeme in anderen Ländern zu erhalten, um an verwertbare Daten zu kommen. Das gilt auch für Systeme in befreundeten Staaten. Zum anderen nutzen die Geheimdienste gekaperte Rechner dazu, über darüber ohne Wissen der Nutzer eigene Daten zu transportieren, etwa im Rahmen verdeckter Aktion.

    Tool der TU München gegen Hacienda

    Letzteres erinnert stark an Bot-Netze mit ferngesteuerten Rechnern, die Cyber-Kriminelle beispielsweise für Distributed-Denial-of Service-Attacken oder den flächendeckenden Versand von E-Mails mit Spam, Trojanern oder Links zu verseuchten Web-Seiten nutzen.

    TCP Stealth - Modifizierte Authentifizierung von TCP-Client und -Server mittels TokenDr. Christian Grothoff, Emmy-Noether-Gruppenleiter am Lehrstuhl für Netzarchitekturen und Netzdienste der TU München, hat zusammen mit Studierenden der Universität eine Software entwickelt, die das Erkennen von IT-Systemen durch solche Spionage-Programme verhindert. TCP Stealth ist frei verfügbar und läuft derzeit auf Rechnern unter GNU/Linux, soll jedoch weiterentwickelt und auch für weitere Betriebssysteme verfügbar gemacht werden. Die Forscher haben die IT-Sicherheits-Software zudem der Internet Engineering Task Force (IETF) vorgelegt, um eine offizielle Freigabe des Programms durch das Internet-Normierungsgremium zu erreichen.

    TCP-Server werden versteckt

    TCP Stealth macht Server, die TCP nutzen, für Hacienda unsichtbar. Das Funktionsprinzip: Es wird eine Zahl generiert, die nur dem Client-Rechner und dem Server bekannt ist. Auf Basis dieser Zahl wird ein geheimer Code erzeugt, der während des Verbindungsaufbaus zum Server gesandt wird. Ist der Code nicht korrekt, antwortet das System nicht. Der Dienst stellt sich gewissermaßen tot.

    Im Gegensatz zu Verfahren, die ähnliche Mechanismen verwenden, schützt TCP Stealth auch vor Angriffen, bei denen sich der Hacker nach Aufbau einer Verbindung in den Datenstrom zwischen Server und Client einklinkt und die übermittelten Daten manipuliert. Das verhindert eine Prüfsumme, anhand der ein Server erkennt, ob die Daten, die ein Client übermittelt hat, tatsächlich die "richtigen" sind.

    Technische Details

    Kurz die technischen Details: TCP Stealth ersetzt die standardmäßige Random-TCP-SQN-Nummer durch ein Token. Es dient zur Authentifizierung des Clients und optional der ersten Bytes der TCP-Nutzlast eines Datenpakets. Clients und Server können TCP Stealth aktivieren, indem sie eine spezielle TCP-Socket-Option aktivieren oder eine Library nutzen, die Netzwerk-Systemaufrufe "einpackt" und dadurch schützt.

    Eine verfügbare Implementierung von TCP Stealth für den Linux-Kernel ist Knock (https://gnunet.org/knock). Wie erwähnt, handelt es sich dabei um eine Shared Library für das Wrapping von Netzwerk-Systemaufrufen. Dadurch können Netzwerkverwalter Knock implementieren, ohne den Kernel neu zu kompilieren.

    Details zu Knoch hat Julian Kirsch von der TU München in seiner Master-Arbeit dargelegt. Sie steht auf folgender Gnunet-Web-Seite zum Herunterladen zur Verfügung: https://gnunet.org/sites/default/files/ma_kirsch_2014_0.pdf

    Keine Kommentare