Hacker können Internetverbindungen unterbrechen
Gestörter Datenaustausch

Das Internetprotokoll hat eine Sicherheitslücke, über die Hacker Verbindungen zum Netz kappen können. Somit könnten ganze Zweige des Internets offline gesetzt werden.

hiz DÜSSELDORF. Der amerikanische Computerfachmann Paul Watson hat auf eine Schwachstelle im Datenverkehr der Netzwerke aufmerksam gemacht, die schlimmer ist, als bisher bekannt war. Das Problem liegt im Grundprinzip des Internet-Protokolls.

Damit die Daten von einem Server zur Arbeitsstation gelangen oder Webseiten angezeigt werden können, bedient man sich generell so genannter Protokolle, in den festgeschrieben ist, wie die Daten aufbereitet werden und sie vom Sender zum Empfänger gelangen. In Firmennetzen und im Internet heißt dieses Protokoll TCP/IP, das schon in den siebziger Jahren unter Federführung des amerikanischen Verteidigungsministeriums entwickelt wurde. Darin ist festgelegt, dass Daten als Pakete ausgetauscht werden und das Sender und Empfänger eine bestimmte Adresse – die IP-Adresse – haben müssen.

Dabei kennt das Internet keine feste Verbindungen. Die Daten werden im Netz angeboten, der Empfänger holt sich seine Pakete ab. Damit der Sender weiß, dass seine Daten am Ziel sind, schickt der Zielrechner stets eine Empfangsbestätigung – Acknowlege genannt. Der Weg, den die Datenpakete durch das weltweite Netz nehmen, ist nicht bekannt. Somit können die Datenpakete auch in beliebiger Reihenfolge beim Empfänger einlaufen. Damit die Datenströme nicht zerstört werden, werden die einzelnen Schnipsel vom Absender durchnummeriert. Der Empfänger sortiert danach die einlaufenden Daten.

Genau an diesem Punkt hat Watson die Schwachstelle ausgemacht. Die Quittung wird mit der Sequenznummer des empfangenen Datensatzes zurückgeschickt. Zusätzlich ist in der Quittung eine Zahl zu finden, die der Sender für das nächste Paket nehmen sollte. Bei Servern ist die Vorgabe einer einzelnen ID natürlich zu beschränkt, da sie pausenlos Paket ins Netz stellen. Deswegen werden so genannte Fenster vereinbart, die der Empfänger für das nächste Datenpaket noch toleriert. Damit sollte schon in den Anfangszeiten des Internet ein rudimentärer Schutz gegen Hacker eingebaut werden. Denn Datenpakete mit Sequenznummern außerhalb des Fensters werden verworfen. Fängt ein Hacker nun so eine Quittung ab, kann er jedoch Pakete in den Datenstrom einschmuggeln und so die Übertragung stören.

Diese Situation allein bereitet den Spezialisten aber noch nicht die größten Kopfschmerzen. Anhand der falschen Quittungen würde der Sender erkennen, dass etwas bei seiner Datenübermittlung nicht stimmt, und die Übertragung neu starten. Es gibt allerdings einen Pakettyp, der keine Quittung zurücksendet. Fatalerweise ist dies das Reset-Kommando, das eine Verbindung sofort unterbricht. Normalerweise wird sie geschickt, wenn auf Sender oder Empfängerseite die Übertragung nicht fortgesetzt werden kann oder es zu Zeitüberschreitungen kommt. Ein Hacker könnte also Verbindungen mittels eines Reset-Paketes unterbrechen. Das ist nicht weiter schlimm, wenn es sich zum Beispiel um den Zugriff auf Internetseite von einem Arbeitsplatz aus handelt. Dann ist die Seite eben für einen einzelnen Zugriff nicht erreichbar, was ebenso passieren kann, wenn ein einzelner Server überlastet ist. Schlimm würde es, wenn der gesamte Verkehr des Internets so gestört würde.

Der Datenverkehr läuft jedoch über eine Vielzahl von Knotenpunkten, den so genannten Routern. Dort werden die Datenströme gebündelt und an den nächsten Router weitergegeben. Dieser Austausch erfolgt ebenfalls per TCP/IP. Wird hier eine Verbindung unerwartet unterbrochen, liegt plötzlich eine Hauptader des Internet brach, alle Server und Workstations, deren Inhalte mit in dem Datenstrom eingepackt sind, sind dann offline. Da der Sender, wegen des nicht notwendigen Acknowledgements, davon nichts mitkriegt, sendet er weiter seine Pakete und wartet auf Quittungen, die nie kommen werden. Der Empfänger wiederum wundert sich über vermeintlichen Datenmüll, den er erwartet ja keine Nachrichten mehr von dem Sender. Die Situation ist dann ähnlich einer so genannten Denial of Service Attacke.

Aktuell arbeiten die Hersteller von Routern und andern zentralen Komponenten an Lösungen für dieses Problem. Der Spezialist Watson empfiehlt als erste Maßnahme, den Wert für das Fenster, in dem das nächste Paket erwartet wird, zu verkleinern und potenziellen Angreifern so das Leben schwerer zu machen. Das kann unter Unix mittels eines Programms und in Windows Systemen durch einen Eintragung in der Registry erfolgen.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%