Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

1.2.2 Systemanomalien zweiter Art

Bei dieser zweiten Art werden Systeme bzw. Komponenten entweder um zusätzliche Komponenten bzw. Funktionen ergänzt, die in der Spezifikation nicht enthalten sind, oder sie werden vollständig ersetzt. Als Sammelbegriff für die derart mit dem Original nicht mehr übereinstimmenden Komponenten wird oft der Begriff Trojanisches Pferd verwendet. [Fußnote 1] Manchmal wird mit diesem Begriff auch die zusätzliche Funktion selbst bezeichnet. Die Mehrzahl der dokumentierten Beispiele für solche Systemanomalien sind Veränderungen von Programmen, doch sind auch Fälle bekannt geworden, in denen z. B. ROM-Chips auf Platinen durch modifizierte Chips ersetzt wurden. Im Laufe der Zeit sind für bestimmte Erscheinungsformen Begriffe geprägt worden, die jeweils einen Aspekt betonen [White et al. 1989, S. 15]:

  • Zeit-Bombe (Time Bomb):

    Von einer zeitlichen Bedingung abhängig wird eine zerstörerische Wirkung ausgelöst.

  • Logik-Bombe (Logic Bomb):

    Die zerstörerische Wirkung ist abhängig von einer logischen Bedingung.

  • Hintertür (Back Door):

    Darunter versteht man eine durch den Entwickler eingebaute Funktion, die eine dem normalen Benutzer nicht zugängliche Leistung erbringt. Ein Beispiel dafür ist ein Default- Paßwort.

  • Falltür (Trap Door):

    Hierbei handelt es sich ebenfalls um eine Hintertür; allerdings wird die Falltür erst nach der Entwicklung eingebaut. Durch sie wird der spätere Zugang zu einer Funktion unter Umgehung der Kontrollfunktionen möglich.

  • Maulwurf (Mole):

    Das normale Verhalten einer Komponente wird nachgebildet, jedoch werden Informationen aufgezeichnet und an einen nicht autorisierten Dritten weitergegeben.

Gemeinsam ist allen diesen verschiedenen Formen, daß der Aufruf einer bekannten und akzeptierten Komponente durch einen Benutzer oder das System selbst erfolgt. Dabei wird eine verborgene Funktion bzw. Komponente durch ihre Einbindung in den Kontrollfluß ebenfalls ausgeführt und agiert mit den bei dem Aufruf zugewiesenen Rechten.

Die Veränderung einer System-Komponente, die um eine verborgene Funktion ergänzt wird, kann bereits bei der Entwicklung einer Komponente erfolgen. Handelt es sich um veränderliche Komponenten, können diese nachträglich manipuliert werden. Im Einzelfall kann auch eine Komponente durch eine veränderte Kopie ersetzt werden.

Bei einer Veränderung eines Systems wird dieses um eine zusätzliche Komponente ergänzt, die die Identität einer ausgewählten Komponente vortäuscht und dadurch im Kontrollfluß vor dieser ausgeführt wird. Solche Komponenten werden als Namensvetter bezeichnet. In Anlehnung daran sollen Komponenten als Funktionsvetter bezeichnet werden, wenn sie Komponenten gänzlich ersetzen und deren Funktion innerhalb des Systems wahrnehmen, soweit dies für den beabsichtigten Zweck notwendig ist.

Um die hier vorgestellte Einteilung anwenden zu können, muß für die Klassifizierung festgelegt werden, was unter dem betrachteten System zu verstehen ist und aus welchen Komponenten es sich zusammensetzt. Da es sich vor allem um Software- Systemanomalien handelt, die aktiv Funktionen ausführen, sind Programme als Komponenten eines umfassenderen Gesamtsystems anzusehen. Diese Sichtweise orientiert sich an den typischen Vorstellungen eines Benutzers, der vor allem mit der Ebene der Dateien konfrontiert ist, und bietet so den Vorteil, daß keine neuen Unterscheidungen eingeführt werden.

Der Begriff Trojanisches Pferd geht auf D. Edwards zurück und wurde erstmals in einer Arbeit über MULTICS veröffentlicht. [Fußnote 2] Die Problematik selbst ist jedoch bereits seit den 1960er Jahren bekannt [Moravec 1990, S. 174]. Ihr kommt gerade im Bereich der Computer-Kriminalität eine große Bedeutung zu, denn ihre Eigenschaft, bis zu der Aktivierung keine auffälligen Auswirkungen zu verursachen, macht ihre Entdeckung sehr schwierig. Sie befinden sich zwar im Kontrollfluß, überprüfen jedoch nur die Erfüllung der durch die Programmierung festgelegten Voraussetzungen, um anschließend die Kontrolle an die normale Funktion der Komponente weiterzugeben oder sie selbst zu erbringen. In zunehmendem Maße werden sie auch eingesetzt, um Computer-Viren freizusetzen.

[Zurück zum Anfang]

 

Fußnoten:
  1. Wird ein Trojanisches Pferd als jedes Programm bezeichnet, das Anweisungen enthält, die eine nicht beabsichtigte Funktion ausführen, trifft dieser Begriff auch auf Systemanomalien zu, die der ersten oder dritten Art zuzuordnen sind.
  2. Computer Security Technology Planning Study / Anderson, J. P.. Hanscom AFB, Mass.: Air Force Electronic Systems Division, 1972. - Technical Report ESD-TR-73-51, vols. 1 and 2. Angabe nach [Gasser 1988, S. 74 und 89].

Literaturangaben:
  1. [White et al. 1989]: Coping with Computer Viruses and related Problems / White, S. R.; Chess, D. M.; Kuo, C. J. - Yorktown Heights, NY: IBM Research Division, 1989. - Research Report RC 14405 1/30/1989 Computer Science.
  2. [Moravec 1990]: Mind Children: der Wettlauf zwischen menschlicher und künstlicher Intelligenz / Moravec, H. - Hamburg: Hoffmann und Campe, 1990.
  3. [Gasser 1988]: Building a Secure Computer System / Gasser, M. - New York, NY: Van Nostrand Reinhold, 1988.

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.