Home / Allgemein / TUM-Forscher entwickeln Abwehrsystem 
gegen Geheimdienst-Software Hacienda

TUM-Forscher entwickeln Abwehrsystem 
gegen Geheimdienst-Software Hacienda

Mit der Spionagesoftware „Hacienda“ identifizieren fünf westliche Geheimdienste angreifbare Rechner weltweit, um sie übernehmen und für eigene Zwecke nutzen zu können. Heise online veröffentlicht dazu heute einen Exklusivbericht.  Wissenschaftler der Technischen Universität München (TUM) haben eine freie Software entwickelt, die dabei helfen kann, eine solche Identifizierung und damit auch eine Kaperung der Computer zu verhindern.

Julian Assange trat mit Wikileaks eine Welle von Veröffentlichungen los, die Regierungshandeln in Frage stellen. Edward Snowdens Entlarvungen der NSA und anderer Geheimdienste sind dem gleichen Ziel verpflichtet. Auch die  CT-Autoren, die weitere  Machenschaften der "five eyes"  aufdeckten stellen die Frage nach rechtmäßigem Regierungshandeln.

Julian Assange trat mit Wikileaks eine Welle von Veröffentlichungen los, die Regierungshandeln in Frage stellen. Edward Snowdens Entlarvungen der NSA und anderer Geheimdienste sind dem gleichen Ziel verpflichtet. Auch die CT-Autoren, die weitere Machenschaften der „five eyes“ aufdeckten, stellen die Frage nach rechtmäßigem Regierungshandeln. Bild: Thierry Ehrmann

Portscanner sind Programme, die im Internet nach Systemen suchen, die potentielle Schwachstellen aufweisen. Laut dem CT-Bericht ist „Hacienda“ ein solcher Portscanner. Betrieben wird er demnach von den „Five Eyes“, einem Zusammenschluss der Geheimdienste der USA, Kanadas, Großbritanniens, Australiens und Neuseelands.  „Das Ziel ist es, möglichst viele Rechner in anderen Ländern zu identifizieren, die übernommen werden können“, erklärt Dr. Christian Grothoff, Emmy-Noether-Gruppenleiter am Lehrstuhl für Netzarchitekturen und Netzdienste der TUM und einer der Autoren des Berichtes.

Neue Software „TCP Stealth“

Grothoff hat mit Studierenden der TUM die Verteidigungs-Software „TCP Stealth“ entwickelt, die die Erkennung von Systemen im Internet durch diese und ähnliche Cyberangriff-Software verhindern kann. Und damit auch die ungezielte und massenhafte Übernahme von Rechnern weltweit, wie der IT-Experte erklärt. Es handelt sich um freie Software, für deren Einsatz bestimmte Systemvoraussetzungen und Computerkenntnisse notwendig sind, wie etwa ein GNU/Linux-Betriebssystem. Um einen breiten Einsatz in Zukunft möglich zu machen, soll sie weiterentwickelt werden. Bereits jetzt jedoch geben die Forscher Systemadministratoren mit „TCP Stealth“ ein weiteres Werkzeug zur Verteidigung ihrer Systeme an die Hand. Denn: Firewalls, virtuelle private Netzwerke und andere bestehende Techniken schützen nur bedingt gegen derartige Cyber-Angriffe. Die Verbindung eines Nutzers mit einem Server im Internet funktioniert nach dem sogenannten Transmission Control Protocol (TCP). Zunächst muss sich ein Nutzer bei einem Dienst identifizieren. Dazu wird ein Datenpaket an den Server geschickt. „Damit fragt der Nutzer: Bist du da?“, erklärt Grothoff. Der Dienst antwortet dem Nutzer auf die Anfrage. In dieser Antwort stecken manchmal bereits Informationen, die für einen Angriff genutzt werden können.

Geheimer Code und Prüfnummer

Die neue freie Software der TUM-Forscher basiert auf folgendem Prinzip: Es existiert eine  Zahl, die nur dem Client-Rechner und dem Server bekannt ist. Auf Basis dieser Zahl wird ein geheimer Code generiert, der unsichtbar während des Verbindungsaufbaus zum Server gesandt wird. Ist der Code nicht korrekt, antwortet das System nicht. Der Dienst stellt sich „tot“. Ähnliche Abwehr-Maßnahmen sind zwar bereits bekannt, allerdings ist das Schutzniveau der neuen Software höher. Auch schützt „TCP Stealth“ im Gegensatz zu bereits existierender Verteidigungssoftware gegen eine weitere Variante eines solchen Cyberangriffs: Dabei wird in den laufenden Datenstrom zwischen Nutzer und Server eingegriffen, nachdem bereits eine Verbindung aufgebaut wurde. Die vom Nutzer an den Server gesendeten Daten werden dabei abgefangen und durch andere Informationen ersetzt .In die analoge Welt übersetzt ist das ungefähr so, als wenn ein abgeschickter Brief seinem Umschlag entnommen und durch einen anderen Brief ersetzt wird. Um das zu verhindern, wird mit dem ersten Verbindungsaufbau auch noch eine Prüfnummer gesendet. Diese kann der Server nutzen, um zu erkennen, ob er die richtigen Inhalte erhalten hat. Experten, die die freie Software einsehen, einsetzen oder weiterentwickeln möchten, können sie unter https://gnunet.org/knock herunterladen.

Share

Leave a Reply