Anzeige

Wie lassen sich Backdoors aufspüren?

Leserfrage: Das Thema Sicherheit wird auch bei uns immer wieder diskutiert. Nicht zuletzt durch Herrn Snowden wissen wir, wie groß die Lücken in den IT-Systemen zum Teil sein können. Die Hersteller sind zudem nicht ganz unschuldig. Gibt es Möglichkeiten sogenannte Backdoors auf Servern, Rechnern oder Routern zu erkennen? Wenn ja, wie?

Anzeige

Antwort Doc Storage:

Bekannte Schad-Software wie Viren oder Trojaner belegen als eigenständig gestartete Programme einen eigenen Adressraum mit Code oder hängen sich an andere Programme an, um deren Adressraum mit zu benutzen. Sie sind durch Auslesen dieses Speicherbereiches und über den Abgleich des Inhaltes mit bekannten Zeichenketten (den durch die Antivirus-Hersteller immer wieder aktualisierten »Virenkennungen«) zu entlarven. Sobald diese Programme also einmal aufgetreten und bekannt sind, lassen sie sich relativ leicht erkennen, entladen und unschädlich machen.

Hintertüren oder Backdoors bedienen sich anderer Mechanismen, die meist bereits beim Hersteller implementiert werden. So zum Beispiel verfügen die meisten BIOS-Codes für x86-kompatible Personalcomputer über eine Zugangsmöglichkeit an allen Passwortabfragen vorbei, um dem Kundendienst so einen Zugriff auf einen für den Anwender havarierten Rechner zu ermöglichen.

Viele Software-Hersteller statten die eigenen Produkte mit solchen Zugängen aus, um beschädigte Installationen reparieren oder Lizenzinformationen auslesen zu können. All diese Zugänge können von herkömmlicher Schutz-Software nicht erkannt werden. Der einzige Weg zur Überprüfung geht hier über die Einsichtnahme in den Quellcode, die allerdings lediglich von quelloffener Software gewährt wird. Sobald allerdings ein kommerzieller Hersteller seinen Quellcode kompiliert und in den Handel gebracht hat, ist dieser nicht mehr auf Hintertüren zu überprüfen.

Somit besteht nach heutigem Stand kaum eine Möglichkeit zur Überprüfung der installierten Software nach solchen Zugängen. Man muss sich hier – unbefriedigend genug – auf die Zusagen und Beteuerungen der Hersteller verlassen. Und wie schwierig es ist, selbst bei scheinbar entlarvten Anbietern wie zum Beispiel RSA die tatsächliche Hintertür zu finden, zeigt sich im aktuellen Fall.

Die einzige Maßnahme, die ein Nutzer treffen kann, ist die Blockade sämtlicher nicht genutzter TCP/IP-Ports am Router und die ständige oder mindestens regelmäßige Überprüfung der Protokollpakete im eigenen Netz. Nur hier lässt sich tatsächlich feststellen, ob externe Rechner versuchen, unerlaubt und unerkannt an lokale Informationen zu kommen.

Gruß
Doc Storage

Anzeige