JitterBug - Hardware-Keylogger sendet Daten über einen verdeckten Kanal ins Internet

Dieses Thema im Forum "Netzwelt" wurde erstellt von Melcos, 11. September 2006 .

Schlagworte:
  1. 11. September 2006
    Überwachung mit dem JitterBug


    „Das ist sicherlich Spionage-Stoff!“ erklärt Gaurav Shah, Student am Lehrstuhl für Computer und Informationswissenschaften an der Universität Pennsylvania. „Der Angreifer müsste sich erst physischen Zugang zu Ihrer Tastatur verschaffen, um einen JitterBug zu platzieren." Dann aber könnte die Wanze, die Tastaturanschläge aufzeichnet, den Rechner so manipulieren, dass der nebenbei die aufgezeichneten Daten über das Internet versendet.

    Dieser in seinem Aufsatz "Keyboards and Covert Channels" beschriebene Ausflug in die Welt von James Bond & Co hat dem Studenten den Preis „Bester Studentischer Forschungsaufsatz “ beschert. Er wurde vergeben auf der USENIX-Sicherheits-Konferenz, die Anfang August im kanadischen Vancouver stattfand.

    Shah beschrieb nicht nur die Theorie einer neuen Art des digitalen Lauschangriffs mittels so genannter Keylogging-Technologie, bei der eine Spezialhardware Tastenanschläge aufzeichnet. Er belegte seine Ergebnisse auch mit einem Prototypen, den er JitterBug taufte. Diesen Namen hatte sein Betreuer erfunden, da diese Wanze Verzögerungen (englisch: jitter) bei den Tastaturanschlägen für die Übertragung hervorruft und damit ihre Erkennung so schwer ist, dass sie eine Heidenangst (ebenfalls: jitter) bei sicherheitsbewussten Anwendern hervorrufen könnte.

    Der deutsche Sicherheitsberater Manfred Fink bescheinigt bereits dem "Keyghost" – ein äußerst erfolgreicher Keylogger der gleichnamigen neuseeländischen Firma, vom Konzept her mit dem Jitterbug vergleichbar – eine 100-prozentige Erfolgsgarantie. „Wenn er schreibt, schreibt er alles mit, und sogar die Putzfrau kann ihn mit wenigen Handgriffen ein- und abbauen“, erklärt Fink, Fachautor des Buches „Lauschziel Wirtschaft“.

    Der Keyghost ist wie der Jitterbug in die Verbindung zwischen Computer und Tastatur integriert und protokolliert die Tastenschläge. Die im Handel für rund 119 Euro angebotenen Geräte schaffen zwischen 128.000 und 2.000.000 Zeichen, je nach Anschlussart PS/2 oder USB.

    Allerdings muss diese Art von Hardware-Keylogger auch wieder von der Putzfrau abgeholt werden, um die mitgeloggten Daten auszulesen. Keylogger, die über Funknetze Daten senden, kennt Fink nur aus den Beständen von Nachrichtendiensten und Ermittlungsbehörden: „Die sind nicht im freien Handel erhältlich“

    Der von Shah entwickelt JitterBug hingegen muss weder abgeholt werden, noch sendet er über Funknetze. Er benützt eine bestehende Internetverbindung um seine mitgeschriebenen Daten über einen verdeckten Kanal herauszuschmuggeln. Der Begriff verdeckter Kanal stammt aus der Informationstheorie und bezeichnet einen Kommunikationskanal, der sich ohne das Wissen des Anwenders Bandbreite von einem bestehenden Kommunikationskanal stiehlt, um so seine Informationen zu übertragen.

    Der Angriff mit dem JitterBug missbraucht eine laufende interaktive Netzwerk-Anwendung und verdeckt seine Übertragung dadurch, dass er die Zeitspanne zwischen der Abgabe des Befehls und seiner Bearbeitung gezielt manipuliert. Vorraussetzung für den Angriff ist, dass der Angreifer Zugang zu den brisanten Informationen hat und den Zeitpunkt des Eintretens bestimmter Ereignisse bestimmen kann.

    Das funktioniert so: Das Opfer, nennen wir es Alice, lässt eine interaktive Kommunikationsanwendung wie SSH, Telnet oder einen Instant Messenger laufen. Der JitterBug hat bereits vorher den Zeichenstrom zwischen Tastatur und Computer auf bestimmte Zeichenketten abgehört und ab deren Auftauchen mitgeschrieben. Nun hat er die Möglichkeit zu senden.

    Dabei muss man sich vergegenwärtigen, dass jeder Tastendruck von Alice eine Serie von Ereignissen auslöst: Die Tastatur sendet spezifischen Code über das Tastatur-Kabel an den dafür vorgesehenen Controller im Rechner. Dieser Fluss ist aber nicht gleichmäßig, so dass variable Verzögerungen auftreten, bis der Wert beim Controller ankommt und anschließend vom Betriebssystem ausgelesen wird. Bis die Software der interaktiven Kommunikationsanwendung die Anweisungen erhält, kommt es zu weiteren Verzögerungen, hervorgerufen durch Prozesse im Betriebssystem.

    Der Zeitpunkt, zu dem das Netzwerkpaket abgeschickt wird, hängt also vom Moment des Tastendrucks und der Summe aller sich danach ergebenden Verzögerungen ab. Genau das macht sich der JitterBug zunutze: Er verzögert nochmals um eine minimale Zeitspanne, die entweder für 0 oder 1 steht. Diese binäre Information repräsentiert aber ein Bit der mitgeschnittenen Zeichenkette. Das wird dann mit Hilfe des existierenden Netzwerkverkehrs herausgeschmuggelt, ohne neue Datenpakete erzeugen zu müssen.

    Der Angriff ist nicht nur mit Hilfe der Tastatur ausführbar. Shah und sein Betreuer Matt Blaze sehen generell jedes Eingabegerät – Maus, Mikrophone oder Web-Kamera – als anfällig, ebenso bestimmte Implementierungen von Voice-over-IP. Auch der Missbrauch nicht interaktiver Netz-Anwendungen sei nach ihrer Aussage möglich, so die Forscher. „Unsere Ergebnisse zeigen, dass Sie, wenn Sie ihr System wirklich absichern wollen, auch an die Eingabegeräte denken müssen“, erklärt Shah.

    Einen Trost hat er: „Ein Anwender zu Hause vor seinem PC wird sich keine Sorgen machen müssen, dass ein Spion einbricht und einen JitterBug installiert.“ Denn er selbst hat sich von einem FBI-Fall aus dem Jahre 2000 inspirieren lassen. Damals hatten FBI-Agenten einen Keylogger am PC des illegalen Buchmachers Nicodemo „Little Nicky“ Scarfo installiert, um sich in den Besitz seines PGP-Passwortes zu erschleichen und weitere Beweise zu sammeln. Mit Erfolg: Scarfo hatte die Häftlingsnummer seines Vaters benutzt.

    Quelle: Technology Review
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten