100426

Jitterbugs - wenn das Keyboard Sie ausspioniert

09.08.2006 | 11:12 Uhr |

Unter den vielfältigen Arten von Malware befinden sich auch so genannte Keylogger. Damit werden Programme bezeichnet, die die Tastatureingaben der Anwender aufzeichnen (Passwörter, Kontonummern, etc.) und an den Autor weiterleiten. Noch perfider sind hingegen Geräte namens "Jitterbugs", die direkt in eine Tastatur verbaut werden und sensible Informationen aufzeichnen.

Herkömmliche Keylogger sind gefährlich, aber Sie können sich durch umsichtiges Verhalten sowie aktuelle Antiviren-Software in der Regel vor derartiger Malware schützen. Denn immerhin handelt es sich immer noch um eine Software, die auf dem Rechner aufgespürt werden kann. Dann gibt es noch die so genannten "Keystroke Loggers", die in Tastaturen verbaut werden und Eingaben aufzeichnen. Allerdings müssen diese wieder aus dem Keyboard ausgebaut werden, um an die darauf gespeicherten Informationen zu gelangen. Eine weiterentwickelte Gefahr dieser Art stellen allerdings so genannte "Jitterbugs" dar. Diesen Namen haben Wissenschaftler einem Gerät verpasst, das direkt in eine Tastatur verbaut wird, kaum noch entdeckt werden kann und abgefangene Informationen über ein Netzwerk sendet.

Nach allem, was derzeit bekannt ist, handelt es sich bei Jitterbugs um eine rein theoretische Gefahr. "In the wild" - wie es so schön heißt - wurden derartige Geräte (noch) nicht entdeckt. Wissenschaftler haben nun jedoch einen funktionstüchtigen Prototyp entwickelt und weisen darauf hin, dass ähnliche Gerätschaften durchaus bereits in der Realität zum Einsatz gekommen sein könnten.

In der wissenschaftlichen Arbeit "Keyboards and Covert Channels" beschreiben Studenten der Universität von Pennsylvania , wie ein Jitterbug funktioniert und wie sensible Daten weitergegeben werden können. Demnach sendet die Einheit im Gegensatz zu herkömmlichen Keyloggern keine aufgezeichneten Tastaturanschläge an ihren Autor, sondern baut diese Informationen in Form eines Verzögerungscodes ein. So werden Tastaturanschläge erst mit einer bestimmten Verzögerung an den PC gemeldet. Je nach Länge der Verzögerung handelt es sich um eine 0 oder eine 1 - Binärcode also. Werden Applikationen wie Instant Messenger, Telnet oder Remote Desktop genutzt, werden bei jedem Tastenanschlag die mit dem zusätzlichen Verzögerungscode versehenen Pakete über das Netzwerk/Internet verschickt. Zwar erhält der Spion in diesem Fall pro Anschlag nur ein Bit, in der Masse dürfte dies aber aus Sicht der Forscher ausreichen, um sensible Informationen wie Passwörter und ähnliches nahezu unentdeckt übertragen zu können.

Da pro Paket nur ein Bit verschickt werden kann, können Jitterbugs natürlich nicht alle Tastatureingaben wiedergeben. Aber: Sie könnten so eingestellt werden, dass sie beispielsweise alles weitergeben, was das Opfer nach dem Eintragen seines Benutzernamens eingibt. Auf diese Weise könnte man mit hoher Wahrscheinlichkeit ein Passwort abfangen.

Um diese Informationen abzufangen, benötigt der Spion wiederum einen "Packet Sniffer". Zusätzlich muss er Zugriff auf das Netzwerk zwischen dem Rechner des Opfers und dem jeweiligen Zielrechner haben - zugegeben keine leichte Aufgabe. Selbst verschlüsselte Leitungen würden aus Sicht der Forscher in diesem Angriffsszenario nichts nützen, denn die speziellen Verzögerungen wären auch dort vorhanden und auswertbar. Probleme könnten nur zusätzliche Verzögerungen bereiten, die durch das Netzwerk selbst verursacht wurden.

0 Kommentare zu diesem Artikel
100426