Die Zitterwanze
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Eine Gruppe von Studenten an der Universität von Pennsylvania haben ihre Forschungsarbeit zum Prototypen eines neuen Keyloggers vorgestellt, den sie "JitterBug" nennen. Sie befasst sich mit der Problematik der "verdeckten Kanäle", die z. B. auch auf den Kongressen des Chaos Computer Clubs immer wieder Thema sind und über die für IT-Anwender nahezu unentdeckbar geheime Daten abgefangen und zu einem Angreifer transportiert werden können.
Der JitterBug für die Tastatur wird zwischen Keyboardcontroller und Tastatur geschaltet, könnte aber auch direkt von Hardwareherstellern in Tastaturen und Kabeln eingebaut bzw. in der Firmware auch per Software emuliert werden, weshalb die Studenten in ihrem Forschungspapier Keyboards and Covert Channels auch vom "Lieferkettenangriff" sprechen.
Der JitterBug eignet sich besonders für Programme, bei denen Tastatureingaben den Versand von Netzwerkpaketen auslösen (SSH, IM, VNC). Mit dem JitterBug werden minimale zeitliche Verzögerungen ("Jitters" von jitter = zittern) zur Zeitspanne zwischen dem Druck einer Taste und dem Netzwerkversand hinzugefügt. In den Daten der Zeitinformationen können dann z. B. Symbole von Passwörtern codiert und anschließend in veränderten TCP Zeitstempeln der TCP Pakete übertragen werden – im Papier ist von den von den RFC 1323 TCP Timestamps und "Sniffer Timestamps" die Rede. Anschließend braucht ein Angreifer nur noch die Zeitstempel der manipulierten TCP Pakete auf dem Weg zum Zielrechner abfangen und decodieren.
Schema und Prototyp des JitterBugs.
Wegen des geringen Speichervolumens des JitterBugs könnten keine großen Dateninhalte abgefangen werden und es bedarf eines Triggers in Form kurzer Zeichenketten (z. B. ein Benutzernamen), der dem JitterBug signalisiert, dass nach dem Auftauchen des Triggers die interessierenden Daten kommen. Der Vorteil für den Angreifer besteht in dem angesprochenen verdeckten Kanal, man könnte auch sagen dem "Stealthcharakter". Außerdem braucht ein JitterBug nicht wie andere Hardwarekeylogger von Angreifern phyisch ausgelesen werden. Wobei es auch herkömmliche und auf dem Markt befindliche Hardwarekeylogger gibt, die eh abgefangene Daten zwischspeichern und selbstständig über das Internet versenden, aber halt offensichtlicher, als es ein JitterBug machen würde. Alles noch sehr experimentell, aber anscheinend mit Potential – auch für die Geheimdienste und ein schönes Beispiel, dass zu einem sicheren Kontext mehr gehört als ein sicheres Betriebssystem und sichere Anwendungen.
Slashdot - The Keyboard That Could Phone Home
Der JitterBug für die Tastatur wird zwischen Keyboardcontroller und Tastatur geschaltet, könnte aber auch direkt von Hardwareherstellern in Tastaturen und Kabeln eingebaut bzw. in der Firmware auch per Software emuliert werden, weshalb die Studenten in ihrem Forschungspapier Keyboards and Covert Channels auch vom "Lieferkettenangriff" sprechen.
Der JitterBug eignet sich besonders für Programme, bei denen Tastatureingaben den Versand von Netzwerkpaketen auslösen (SSH, IM, VNC). Mit dem JitterBug werden minimale zeitliche Verzögerungen ("Jitters" von jitter = zittern) zur Zeitspanne zwischen dem Druck einer Taste und dem Netzwerkversand hinzugefügt. In den Daten der Zeitinformationen können dann z. B. Symbole von Passwörtern codiert und anschließend in veränderten TCP Zeitstempeln der TCP Pakete übertragen werden – im Papier ist von den von den RFC 1323 TCP Timestamps und "Sniffer Timestamps" die Rede. Anschließend braucht ein Angreifer nur noch die Zeitstempel der manipulierten TCP Pakete auf dem Weg zum Zielrechner abfangen und decodieren.
Schema und Prototyp des JitterBugs.
"This is spy stuff. Someone would need physical access to your keyboard to place a JitterBug device, but it could be quite easy to hide such a bug in plain sight among cables or even replace a keyboard with a bugged version. Although we do not have evidence that anyone has actually been using JitterBugs, our message is that if we were able to build one, so could other, less scrupulous people."
Gaurav Shah, neben Andres Molina und Matt Blaze Koautor der Forschungsarbeit.
Siehe auch:
University of Pennsylvania - University of Pennsylvania Researcher Reports JitterBugs Could Turn Your Keyboard Against You, Steal DataGaurav Shah, neben Andres Molina und Matt Blaze Koautor der Forschungsarbeit.
Slashdot - The Keyboard That Could Phone Home
von rabenhorst - Owl,
gepostet am Mittwoch, 9. August 2006 um 11:36
