zurück
Angriffsmöglichkeiten in ein Kommunikationsystem - Theoretische Abhandlung
Dieses Dokument versucht Angriffe, die in ein Kommunikationsystem möglich sind, der Art, ob nun passiv oder aktiv zuzuordnen. Dabei wird weniger auf die technischen Details, sondern viel mehr auf die Art des Angriffs eingegangen.
Passive Angriffe
Aktive Angriffe
Zufällige Verfälschungsmöglichkeiten
1. Passive Angriffe
Bei passiven Angriffen werden die übertragenen Nachrichten und der Betrieb des Kommunikations-Systems nicht geändert. Es werden lediglich Daten und Nachrichten "mitgehört", soweit dies möglich ist. Dadurch können Dritte z.B. Nutzerkennungen und Passworte herausfinden, aber auch aufzeichnen, wer mit wem und wann kommuniziert, bzw. wer welche Internetseiten besucht. Hiervon sind besonders lokale Netze bedroht, da sie Broadcastmedien verwenden und sich dadurch Nachrichten immer über das ganze Netz ausbreiten und sie theoretisch jeder im Netz mithören kann. Ebenfalls einfach können Benutzerkennungen und Passworte bei Telnet aufgezeichnet werden, da diese hier im Klartext übertragen werden.
Somit sind Passive Angriffe Bedrohungen, die vom Angreifer bewußt und gezielt durchgeführt werden, um sich unerlaubt Informationen zu beschaffen.
Der Angreifer verfolgt dabei Übertragungswege und somit die Daten, welche er sogar kopieren kann, ohne Änderungen vorzunehmen.Da bei einem
solchen Angriff Personen zu Informationen kommen, die nicht für sie bestimmt sind, handelt
es sich bei einem passiven Angriff um eine Verletzung der Vertraulichkeit.
Man unterscheidet folgende passive Angriffsarten:
Abhören von Daten
Durch diese Art des Angriffes gelangt ein Angreifer in den Besitz der übertragenen Daten und kann diese für seine eigenen Zwecke verwenden. Um einen solchen Angriff durchzuführen, bedarf es eines Sniffer-Programmes und eines Rechners mit "root"-Privilegien (oder Administrator-Privilegien). Das Sniffer-Programm arbeitet rein passiv und erhält alle Daten, welche an den Rechner und seine Subnetze übertragen werden. Eine Erkennung des Abhörprogrammes ist nur auf demjenigen Rechner möglich, auf dem es läuft. Die Programme ethereal und iptraf sind Beispiele solcher Snifferprogramme. So könnte ein Angreifer durch Abhören einer Telnet-Verbindung an Login und Passwort eines Teilnehmers kommen. Abhilfe schaffen hier Verschlüsselte Übertragungen wie z.B. bei SSH oder durch den Einsatz von Ipsec.
Abhören der Teilnehmer-Identitäten
Dieser Angriff dient dazu herauszufinden, welche Teilnehmer untereinander eine Datenverbindung aufbauen und Daten austauschen. Aufgrund dieser Tatsachen, wer zu welchem Zeitpunkt mit wem welche Daten ausgetauscht hat, sind Rückschlüsse über die ausgetauschten
Daten und das Verhalten der Benutzer möglich. Ein reger Datenaustausch zwischen den Geschäftsführern zweier Unternehmungen, die bisher keine Kommunikation miteinander pflegten, kann zum Beispiel auf eine Kooperation der beiden hinweisen.
Verkehrsflussanalyse
Werden die Informationen verschlüsselt übertragen, können diese nicht mehr ohne weiteres abgehört werden. Ein Angreifer kann sich aber durch eine Verkehrsflussanalyse Angaben über die Kommunikation der Teilnehmer beschaffen sowie über Informationen, die ihm bei der Entschlüsselung der übertragenen Daten nützlich sein können. Mit Hilfe einer Verkehrsflussanalyse erfährt der Angreifer Zeit, Grösse, Häufigkeit und Richtung eines Datentransfers.Diese Angaben können zum Beispiel für Börsentransaktionen von Interesse sein.
2. Aktive Angriffe
Durch aktive Angriffe werden Nachrichten/Daten oder Kommunikation verfälscht. Dritte können dabei Informationen verzögern oder wiederholen, Daten einfügen, löschen oder modifizieren, oder Kommunikationssysteme durch künstlich erzeugte Überlastungen boykottieren (Denial of Service (DoS)).
Direkte Kommunikationspartner können eine falsche Identität vortäuschen oder einen authentisierten Verbindungsaufbau beobachten (z.B. über Telnet) und die Verbindung für eigene Zwecke missbrauchen.
Somit wird im Gegensatz zu den passiven Angriffen, bei aktiven Angriffen der Betrieb eines
Kommunikationssystems verändert. Zu den aktiven Angriffen werden sämtliche Aktionen ge-
zählt, welche Daten durch unberechtigtes Nutzen von Ressourcen und Prozessen verändern,
löschen oder einfügen.
Dabei kann man grndsätzlich zwischen folgenden aktiven Angriffen unterschieden werden:
Wiederholen oder Verzögern von Informationen
Dieser Angriff soll den Empfänger einer Nachricht verunsichern oder zu einer falschen Aktion veranlassen. Die Nachricht wird dabei entweder mehrere Male an den Empfänger geschickt oder es wird eine Verzögerung des Empfangs herbeigeführt, indem die Nachricht
aufgezeichnet und zu einem späteren Zeitpunkt wieder eingespielt wird. Der Angreifer kann demnach Benutzeraktionen, ohne Wissen des Benutzers, wiederholt ausführen. Ausserdem können bestimmte Informationen, die über das Netzwerk transportiert werden, solange verzögert werden, bis sie wertlos sind.
Einfügen und Löschen bestimmter Daten
Um eine Systemmanipulation durchzuführen, fügt ein Angreifer bestimmte Daten in bestehende Daten ein oder löscht sie. Der Empfänger wird durch die fehlenden Informationen oder zusätzlich eingefügten Daten zu einem falschen Verhalten veranlasst.
Modifikation von Daten
Bei einer Modifikation findet eine Veränderung der Daten bei der Übertragung statt. Diese Veränderung ermöglicht es dem Angreifer, falsche Handlungen zu veranlassen. So kann beispielsweise eine Modifikation eines Zahlungsauftrages dazu führen, dass eine andere als
die ursprünglich beabsichtigte Person begünstigt wird.
Boykott des Kommunikationssystems (Denial of Service)
Dieser Anschlag wird dazu benutzt, die Verfügbarkeit eines Kommunikationssystem zu stören. Zu diesem Zweck unterbricht der Angreifer entweder die Kommunikationsverbindung oder legt einzelne Dienste und Funktionen lahm.
Bei der einfachsten Form eines solchen Angriffs wird versucht, die Festplatten durch die Übermittlung sehr grosser Datenmengen (z.B. E-Mail-Bomber64 ) zum Überlaufen zu bringen.
Vortäuschen einer falschen Identität (Masquerade)
Um die Authentifizierung zu unterlaufen wird dem System eine falsche Benutzeridentität vorgetäuscht. Dadurch kann der Angreifer Datenmanipulationen durchführen, welche sonst nur einem bestimmten Benutzer zustehen. Auf diese Weise werden Manipulationen an Systemsoftware und Daten möglich.
Eine falsche Identität erlangt ein Angreifer zum Beispiel durch das Ausspähen von Benutzer-ID und Passwort, die Manipulation des Absenderfeldes einer Nachricht oder durch die Manipulation der Kartenadresse der Netzwerkkarte.
Die Erlangung einer falschen Identität kann beispielsweise durch die Duplikation der Authentifizierungs-Sequenz oder durch das Einspeisen gefälschter Daten (Spoofing) in das Netzwerk bewerkstelligt werden.
Trittbrettfahrer (Hijacking)
Bei einem Hijacking-Angriff schaltet sich der Angreifer in eine bestehende Terminal- oder Login-Sitzung ein, welche vom System bereits authentifiziert wurde, und übernimmt diese.
Technisch betrachtet, hängt sich der Angreifer in die Kommunikationsverbindung ein, verfolgt die Login-Prozedur mit und kapert die Login-Bestätigung des Servers. Dem Rechner des autorisierten Benutzer wird ein Verbindungsabbau zugesandt, und der Angreifer verfügt aufgrund des erfolgreichen Login über alle Rechte des autorisierten Benutzers.
3. Zufällige Verfälschungsmöglichkeiten
Abgesehen von den Bedrohungen, welche die Kommunikationssysteme durch aktive und passive Angriffe erfahren, gibt es auch unbeabsichtigte Verfälschungsmöglichkeiten, die ein System bedrohen.
Fehlrouting von Informationen
Die im Internet übertragenen Informationen können von den Routern an falsche Teilnehmer geleitet werden. Dieses Fehlrouting ist auch schon beim Verbindungsaufbau möglich, wobeieine Verbindung zu einem falschen Teilnehmer hergestellt wird.
Übertragungsfehler
Durch ein Übersprechen von Nachbarkanälen oder Wählgeräusche können Übertragungsfehler entstehen. Die Wahrscheinlichkeit eines solchen Bitübertragungsfehlers liegt jedoch zwischen 10 hoch -4 und 10 hoch -7 und ist somit relativ gering.
Software-Fehler
Ein Grossteil der Software (ca. 99%) ist nicht verifiziert. Dies bedeutet, dass jede Software
Fehlern unterliegt, welche in gewissen Situationen zu Fehlreaktionen führen können.
Fehlbedienung
"Irren ist menschlich", besagt ein altes Sprichwort. Viele Bedrohungen gehen von Benutzern
aus, die Aktionen auslösen, welche aus einer Fehlbedienung resultieren. So wird beispielsweise eine vertrauliche E-Mail der Personalabteilung, statt an den Personalchef, an einen Mitarbeiter geschickt.
Bei weiteren Fragen, Kritik oder Anregungen zum Artikel stehe ich natürlich jederzeit zur Verfügung.
Einfach eine E-Mail an duddits-[at]-remoteshell-security.com. Ich versuche diese dann so schnell als möglich zu beantworten.
Nach oben
|