Von Tobias Meyer
Server angreifen um Sicherheitslücken aufzudecken: Arbeiten im Labor für Informationssicherheit. Foto: Tobias Meyer
Dann hat der Hersteller einen Patch veröffentlicht, der die jeweilige Software auf den neuesten Stand bringt, insbesondere in Sicherheitsfragen.
Überall dort, wo Menschen arbeiten, passieren Fehler, also auch beim Programmieren oder Einrichten von IT-Systemen – ungewollt entstehen Sicherheitslücken. Professor Hartmut Pohl hat es sich zur Aufgabe gemacht, solche Lücken zu finden. Zusammen mit Informatikstudierenden arbeitet er seit zwei Jahren im Lehrgebiet Informationssicherheit daran, die Sicherheit von Soft- und Hardware zu verbessern.
Angriff für die Sicherheit
Beim Einbrechen in Computersysteme läuft es genauso wie beim Einbruch in ein Haus: Erst wenn das Schloss tatsächlich geknackt ist, weiß man, dass es ein Schlupfloch gibt. Deshalb müssen Computer beim Test auf Sicherheitsmängel auch tatsächlich angegriffen werden. Für jedes Leck wird nach seinem Bekanntwerden sofort ein entsprechendes Angriffsprogramm in der Hackerszene erstellt. Diese Programme werden in „Attack Frameworks“ zusammengefasst. Und damit blasen die Studierenden dann systematisch zum Angriff.
Es gibt zwei Klassen
Bei Zero-Day-Exploits wartet man, dass ein Sicherheitsleck durch den Patch des Software-Herstellers veröffentlicht wird, am Tag Zero. Nun schreibt man ein Angriffstool für diese Lücke und hofft ein System zu finden, das noch nicht per Patch aktualisiert wurde. Bis bekannte Fehler vom Hersteller behoben werden, vergehen aus Kostengründen bis zu zwei Jahre. Bei Less-Than-Zero-Day-Exploits wird nach unveröffentlichten Sicherheitslücken gefahndet und bei Erfolg attakkiert.
„Und schon sind wir drin.“
Das Ganze wird in seinem Labor für Informationssicherheit mit bekannten Lecks geübt. Ziel ist außerdem, noch nicht veröffentlichte Löcher in Systemen zu finden. Die Zahlen sprechen für sich: „Die Studierenden knacken 50 bis 95 Prozent der angegriffenen Server – und zwar mit herkömmlichen Computern und frei verfügbaren Tools“, so Pohl. In Deutschland sind solche Tools noch vielfach unbekannt, „in drei Jahren werden sie sich aber auch hier durchgesetzt haben“, schätzt Pohl und empfiehlt seine Studierenden als künftige Fachkräfte.
Sichere Software kann entwickelt werden
Bei Anwendungssoftware steht oft kein großer Hersteller dahinter. Das hat den Effekt, dass diese einmal programmiert wurde und seitdem nicht gepflegt wird. Hier kann das Sicherheitsniveau schon sehr einfach ermittelt werden. Beim „Thread Modeling“ wird das Design des Programms auf Strukturen untersucht, die bekannt für Sicherheitslücken sind, ähnlich wie beim Virenscanner. Beim „Fuzzing“ wird die Software mit zufälligen Werten gefüttert, ihre Reaktion beobachtet. Auch so lassen sich Lücken finden. Auf Basis dieser Erfahrungen kann sichere Software entwickelt werden.
Ein weiterer Schwerpunkt liegt auf Computer-Forensik. Hier werden gezielt Dateien aufgespürt und ausgewertet, wodurch rechtswidrige Handlungen auf Servern, Clients oder in Netzwerken gerichtsfest nachgewiesen werden können.
Nicht alle Hacker haften gleich
Aber auch die Studierenden selbst müssen in Deutschland noch vorsichtig beim Umgang mit Angriffssoftware sein, denn rechtlich könnte der Einsatz solcher Tools verboten sein. Als Gutachter beim Bundesverfassungsgericht zeigt Pohl, dass der Hackerparagraph 202c StGB nicht alle gleich behandeln kann: Zur Einschätzung des Sicherheitsniveaus von IT-Systemen seien die Angriffstools unabdingbar. „Das ist, als würden Sie das Zerstören von Autos beim Crashtest verbieten“, so Pohl.
Ziel des wissenschaftlichen Hackens ist es, neue Techniken und Sachverstand zu erarbeiten. Absolventen des Fachbereichs Informatik können später IT-Fachkräfte und Sicherheitsberatungsfirmen coachen. Dabei könnten neue, von den Studierenden selbst erprobte Verfahren eingesetzt werden. Auch direkt als Dienstleister bietet die Hochschule Sicherheitsprüfungen für Unternehmen an.
Artikel vom 05.01.2010
Nutzen Sie die Möglichkeit, die gedruckte Ausgabe des "doppelpunkt:" zweimal jährlich zu beziehen und bereits veröffentliche Ausgaben nachzubestellen. mehr...