Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Schnellauswahl
IT-Sicherheit

Eine klebrige Falle für Angreifer im Internet

Mit einer Locksoftware wollen Wiener Forscher Angreifer im Netz von sicherheitskritischen Zielen fernhalten
Mit einer Locksoftware wollen Wiener Forscher Angreifer im Netz von sicherheitskritischen Zielen fernhalten(c) imago images/Westend61 (JOSEP M ROVIROSA via www.imago-images.de)
  • Drucken
  • Kommentieren

Mit einer Locksoftware wollen Wiener Forscher Angreifer im Netz von sicherheitskritischen Zielen fernhalten – aber auch die wachsende Zahl an das Internet angebundener Geräte des täglichen Lebens vor Schaden bewahren.

Die Jahre als IT-Sicherheitsberater will Christian Kudera nicht missen. Sein eigener Chef zu sein, auf Kundenwunsch IT-Attacken zu reiten, um noch vor kriminell veranlagten Hackern Schwachstellen in Firmennetzen zu identifizieren, „macht anfangs total viel Spaß“, erzählt Kudera. Doch irgendwann geht der Kick, die an der Uni erworbenen Fertigkeiten destruktiv einzusetzen, verloren. „Ich sehnte mich zurück zur Forschung und Aufgaben, an denen man sich über Jahre die Zähne ausbeißt“, sagt der wissenschaftliche Mitarbeiter bei SBA Research, dem hierzulande größten Forschungszentrum für Informationssicherheit.

Im von der Forschungsförderungsgesellschaft FFG unterstützten Projekt „AutoHoney(I)IoT“, das noch bis Ende 2021 läuft, hat Kudera eine solche Herausforderung gefunden. Und statt den Angreifer zu mimen, gibt er neuerdings das Angriffsziel ab. Oder vielmehr: ein vermeintliches Angriffsziel. Sogenannte Honigtöpfe, Programme oder Server, die Angreifer im Netz auf die falsche Fährte locken, sind in der Computerwissenschaft etabliert. Doch in der Ära der digitalen Vernetzung geben neuerdings auch zig an das Internet angebundene Geräte aus dem Haushalt oder täglichen Leben, bequem per Smartphone gesteuert, und Steuerungen für Produktionsanlagen lohnende Angriffsziele ab. Ein „virtuelles Abbild der Geräte“ soll Angreifern, die Internetdienste lahmlegen oder unerlaubterweise Rechenleistung für das Schürfen nach Kryptowährungen abzweigen wollen, „deshalb eine Realität vorgaukeln, die so nicht existiert“, so Kudera.

 

Linux ist der Platzhirsch

Dass das Projekt, an dessen Ende ein funktionstüchtiger Prototyp stehen soll, von der Viruspandemie nicht ausgebremst wurde, ist einer der Vorteile der Disziplin. „Wir brauchen nicht viel mehr als unsere Laptops“, sagt Kudera lachend. Und Fernzugriff auf einen potenten Server sowie Rechenkapazität in Hülle und Fülle hat man jederzeit. Was kein Fehler ist, denn die Virtualisierung von Geräten, wie sich Kudera diese vorstellt, soll im großen Stil erfolgen.

Im ersten Schritt nahmen die Forscher eine Selektion von mehr als 60.000 Geräten – von Netzwerkroutern, speicherpogrammierbaren Steuerungen von Industrieanlagen bis zu internetfähigen Kameras – vor. Allein aus deren verbauter Software, Firmware genannt, „wollen wir ein für Angreifer überzeugendes Abbild des Geräts schaffen“, sagt Wolfgang Kastner, Professor für Informatik an der TU Wien.

Die Klassifizierung der geräteseitig aufgespielten Betriebssysteme – eine mühselige, weil kleinteilige Analyse vieler, vieler Firmwaresamples – endet gerade. Die Vermutung der beiden Forscher: „Vier von fünf IoT-Geräten (Internet of Things bzw. Internet der Dinge, Anm.) werden wohl auf einem freien Betriebssystem wie Linux laufen.“

Was von Vorteil wäre. Denn das Virtualisieren von Geräten, die auf Linux aufsetzen, gestaltet sich um einiges leichter als von Geräten, deren Software ohne Betriebssystem direkt mit dem Hauptchip interagiert. „Wir programmieren das Verhalten der Geräte nach und können auf unseren Rechnern dann eine Vielzahl virtualisierter Geräte ganz ohne physisches Produkt betreiben“, erklärt Christian Kudera.

 

Künstliche Köder

Voraussichtlich im Frühjahr soll dies für eine Vielzahl ausgewählter Geräte geschafft sein, ehe die Bewährungsprobe für die künstlichen Köder folgt. „Wir binden sie in das Internet ein und sehen uns das Angriffsverhalten an“, so Kudera. Dass jemand in den Honigtopf tappt, wird bei Linux-basierenden Geräten auch durch neu im System angelegte Dateien ersichtlich, die es so vorher nicht gab.

Neben den wissenschaftlichen Projektpartnern SBA Research, TU Wien und FH Technikum Wien ist in dem Projekt auch der Wiener IT-Security-Consulter Trustworks beteiligt. Er will den Softwareprototyp, der 2021 dann stark automatisiert nach dem nun erarbeiteten Regelwerk Honigtöpfe erzeugt, möglichst bald in Tests schicken.

Auch beim Aufstellen sichererer Firewallregeln in Unternehmen könnte die Software übrigens einen Beitrag leisten, heißt es.

IN ZAHLEN

500 Tausend mit dem Internet verbundene Geräte schädigte eine Serie von Angriffen des Mirai-Botnets im Jahr 2016. Mit automatisierten Schadprogrammen wurden Internetdienste lahmgelegt, über die Veröffentlichung des Quellcodes auf einem Webportal fand Mirai in kurzer Zeit weltweit Nachahmer. Hoch frequentierte Webdienste von Twitter und Amazon waren das Ziel der Attacken.

600 Milliarden Dollar weltweiten Schaden verursachte Cyberkriminalität im Jahr 2018 laut einer Studie eines US-IT-Security-Anbieters.

("Die Presse", Print-Ausgabe, 09.01.2021)