Quantensprung im Hacker-Wettrüsten?

Ein von Hackern neuentwickelter polymorpher Code bringt Netzwerkwächter ins Schwitzen

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der ewige Kampf zwischen Computerkriminellen und den Beschützern bedrohter Server geht in eine neue Runde. Der sogenannte "Chameleon-Code" LINK, mit dem Firewalls und Detektor-Programme beliebig unterlaufen werden können, könnte in Zukunft ernsthaft die Netzwerksicherheit gefährden, wenn nicht in absehbarer Zeit ein Gegenmittel entwickelt wird.

Beim jährlichen Hacker-Konvent DEFCON in Las Vegas wurde jetzt in der anrüchigen Hacker-Wissenschaft ein neues Kapitel aufgeschlagen. Wie New Scientist berichtet, präsentierte ein Computer-Outlaw mit Decknamen "K2", der aus dem kanadischen Vancouver stammt, eine persönliche Modifikation des sogenannten "Chameleon Code". Es handelt sich dabei um eine besonders tückische Variante eines polymorphen Codes, der die Scripts von Hackerprogrammen maskieren kann und beim Eindringen in fremde Systeme vor Entdeckung bewahrt. "K2", der angeblich Kelly heißt, studiert und nebenher als Sicherheitsberater arbeitet (typische Hacker-Karriere eben), beschäftigt sich wie etwa sein Artgenosse Raphael Gray (Vgl. Cracker mit Humor) schon länger mit der Analyse von Netzwerksicherheit. Er hatte bereits Ende März beim Sicherheitskongress Cansecwest in Vancouver ein Hacker-Tool vorgestellt, das konventionelle Schutzsysteme aushebeln könnte.

Normalerweise findet der lautlose Krieg im Cyberspace ja so statt, dass der Computerkriminelle ein Programm schreibt, mit dem er in ein Netzwerk eindringen und es von außen in seinem Sinne (negativ als Cracker) beeinflussen oder auch nur (im gutwilligen Falle) durchstöbern kann. Betreuer von Servern und Netzwerken versuchen dem zu begegnen, indem sie ihrerseits Programme entwickeln, die Aktivitäten solcher bösartigen "Scripts" erkennen und abwehren können. Oft sind die Verteidiger selbst ehemalige Hacker, die die Seiten gewechselt haben und ihr Wissen bei der Programmierung von "Intruder Detection Systems" IDS (beispielsweise www.snort.org oder www.sourcefire.com) für ein gutes Gehalt einsetzen.

So weit, so bekannt. Jede Waffe kann analysiert werden und erzeugt ja generell bekanntlich automatisch eine Gegenwaffe. Was aber tun, wenn man fürchten muss, jederzeit überrumpelt werden zu können, weil sich der Gegner quasi unsichtbar machen kann? So in etwa stellt sich gegenwärtig die Lage für potenzielle Opfer von Cracker-Attacken mit polymorphen Codes dar. Denn die dabei generierten Scripts sind in der Lage, bestehende Detektorprogramme zu täuschen. Das Ziel bleibt gleich, aber die Wege, auf denen der Angriff erfolgt, sind beliebig variierbar. Soll das Hacker-Script beispielsweise den Wert 100 enthalten, kann der mutierende Code neben 50 + 50 daraus genauso 40 + 60, 80 +20, 10 + 90 usw. daraus machen. Das Ergebnis bleibt dasselbe, aber das IDS-Script, das nur 50 +50 erkennt, bleibt bei den Varianten somit blind und wirkungslos. Jeder Angriff ist folglich brandneu - mit durchschlagendem Erfolg.

Neben der Variation eines Skripts gibt es bei der Arbeit mit einem "Chameleon Code" auch die Möglichkeit, dem Programm unechte "Dummy"-Befehlszeilen hinzuzufügen. Diese verändern den wirklichen Inhalt des Hacker-Programms nicht, machen es jedoch für das gegnerische IDS-Programm ebenfalls von der inhaltlichen Erscheinung her nicht erkennbar. Wie der Hacker "K2" sagt, haben seine bisherigen Tests mit dem Code ergeben, dass kein IDS-Schutzprogramm seine simulierten Angriffe entdecken konnte.

Der Experte für Computersicherheit an der London School of Economics Peter Sommer glaubt, dass die Betreiber von Netzwerken zukünftig wohl ihre Strategie ändern müssen. Statt auf individuelle Script-Typen werde mehr auf Verhaltensprofile geachtet werden müssen. Aber Sommer bringt das gegenwärtige Problem der Verteidiger auf den Punkt, wenn er fragt: "How do you know about something that isn`t detectable?"

Etwas tröstend für besorgte Netzwerkwächter mag die Aussage von "K2" sein, dass bisher nur wenige Computerkriminelle die Skills besitzen, mit dem polymorphen Codieren ernsthaften Schaden anzurichten. Aber die Zeit läuft erst einmal gegen die Wächter.