Spoofing


Als Spoofing (deutsch: Manipulation) wird das Vortäuschen einer Identität in der digitalen Kommunikation und dem Internet bezeichnet. Der Spoofer manipuliert die Kommunikation derart, dass dem Empfänger einer Nachricht oder eines Datenpaketes eine falsche Absenderadresse angezeigt wird. Spoofing wird in unterschiedlichen Bereichen angewendet, um beispielsweise Spammails zu versenden, Computer und ganze Netzwerke zu infiltrieren oder über gefälschte Ressourcen an persönliche Nutzerdaten gelangen (Pishing). Generell werden beim Spoofing Daten von einer unbekannten Quelle versendet, die für den Empfänger jedoch vertrauenswürdig erscheint. Durch Veränderung der Daten kann der Spoofer seine echte Identität verschleiern und dem Empfänger vortäuschen, dass ihm die Absenderadresse bekannt ist. Gegenmaßnahmen werden unter dem Begriff Anti-Spoofing zusammengefasst.

Allgemeine Informationen zum Thema[Bearbeiten]

Spoofing hebelt verschiedene Mechanismen in der digitalen Kommunikation aus. Ihren Ursprung haben die Manipulationstechniken in dem IP-Spoofing: Ein Datenpaket, das an eine IP-Adresse versendet wird, erhält durch Manipulation der Kopfdaten eine vertrauenswürdige Absenderadresse eines Hosts oder einer Domain. Der Empfänger des Datenpaketes glaubt, den Absender oder seine Adresse zu kennen, nimmt das Datenpaket an und öffnet es. Ähnliches geschieht beim Email Spoofing, das neben dem IP-Spoofing die am häufigsten verbreitete Variante darstellt.[1]

Arten des Spoofing[Bearbeiten]

Da die digitale Kommunikation zwischen Sendern und Empfänger stets nach bestimmten Protokollen erfolgt, können Authentifizierungs- und Verifikationsmethoden in der Netzwerkkommunikation teilweise ausgehebelt werden. Je nach Netzwerkprotokoll werden verschiedene Arten des Spoofings unterschieden. Letztendlich werden Daten, Nachrichten und Emails so manipuliert, dass sie innerhalb einer spezifischen Infrastruktur für den Angreifer zum Erfolg führen. Die Empfänger können sich jedoch mit einigen Maßnahmen vor solchen Angriffen schützen.

IP Spoofing[Bearbeiten]

Das IP Spoofing gehört zu den klassischen Man-in-the-middle-Angriffen, die sich zwischen Sender und Empfänger drängen. Bei der Netzwerkkommunikation mit TCP/ IP werden Schwächen in der Architektur ausgenutzt, um die Authentifizierung zu umgehen. Da die Authentifizierung nur bei der ersten Verbindung zwischen Sender und Empfänger stattfindet, können Daten verändert werden, die später über die gleiche Verbindung versendet werden. Der Empfänger vertraut aufgrund der ersten Authentifizierung dem Sender und empfängt die Daten. Der Angreifer verändert jedoch die Quelladresse und täuscht dem Empfänger vor, dass die Daten von einer vertrauenswürdigen Quelle stammen. Jedes Datenpaket, das über TCP an eine IP-Adresse verschickt wird, ist mit einer Sequenznummer versehen. Der Angreifer manipuliert die Sequenznummer und hackt sich in den Kommunikationskanal, was auch als Session Hijacking bezeichnet wird. Jedoch ist dies in den meisten Fällen nur aufgrund weiterer Sicherheitslücken möglich, da mit IP-Spoofing keine herkömmlichen Internetverbindungen aufgebaut werden können. Entsprechend geht IP-Spoofing häufig mit anderen Hackertechniken und Angriffsmustern einher.[2]

Email Spoofing[Bearbeiten]

Das Email Spoofing nutzt eine Schwachstelle beim Versand von Emails aus, die auf dem SMTP Protokoll basiert. SMTP verwendet in der Standardversion keine Authentifizierung und wird weltweit am häufigsten zum Versand von Emails eingesetzt. Ein Spoofer kann den Header einer Email manipulieren, indem er die Syntax des verwendeten Protokolls ausnutzt und genau dort Änderungen vornimmt, wo das System Informationen zum Absender speichert. Dies sind die Kopfdaten einer Email, wo auch der sogenannte SMTP Envelope (deutsch: Briefumschlag) zu finden ist, mit dem ein Handshake zwischen Sender und Empfänger durchgeführt wird. Mithilfe einiger SMTP-Befehle können die Kopfdaten manipuliert werden, woraufhin dem Empfänger eine falsche Absenderadresse angezeigt wird. Spoofer verfolgen mit dieser Strategie oft unterschiedliche Ziele:

  • Zum Versand von Spam-Emails
  • Zum Abgreifen von persönlichen Daten
  • Als Einfallstor für weitere Netzwerkangriffe

Mit RFC 2554 existiert eine Erweiterung für das SMTP-Protokoll, die eine Sicherheitsschicht mit dem Mailserver generiert und dadurch vor Email Spoofing schützt.[3] Für das Erkennen von Spoofing Mails sollte ebenfalls die Variante Brand Spoofing beachtet werden, da hier Angreifer bekannte Markennamen wie PayPal oder Amazon verwenden, um Pishing oder Pharming zu betreiben.

Content und URL Spoofing[Bearbeiten]

Mit Content Spoofing werden Inhalte so verschleiert, dass ein Nutzer glaubt, diese Inhalte stammen nicht von einer externen Ressource, sondern von einer Website, die der Nutzer aufgerufen hat. Tatsächlich liegt der Ursprung für den angezeigten Content jedoch woanders, denn ein Spoofer hat die Parameter, die auf eine Website verweisen, manipuliert. Bei dynamisch generiertes Websites ist es prinzipiell möglich, die gesamte Website oder einzelne Elemente zu verändern, da der Ort bestimmter Inhalte durch Attribut-Wert-Paare in der jeweiligen URL angegeben wird. Ersetzt ein Angreifer diese Teile der URL, verweist er auf nicht legitime Inhalte, die aber unter der Ursprungs-URL angezeigt werden.

Die URL einer legitimen Ressource
http://beispiel/seite?frame_src=http://beispiel/datei.html
wird verändert, sodass diese Ressource ein Inhaltselement erhält, das zum Beispiel durch
frame_src=http://angreifer.beispiel/spoofing.html 
definiert ist.[4] Der Nutzer sieht die Adresse der ursprünglichen Ressource in der Adressleiste des Browsers, aber der Content, der ihm angezeigt wird, stammt aus einer anderen Quelle, die der Angreifer festlegt. Diese Attacken untergraben das Vertrauensverhältnis zwischen Websites, Online-Diensten und Nutzern, indem die HTTP-Kommunikation bei dynamischen Websites ausgenutzt wird. URL Spoofing funktioniert ähnlich, wobei in diesem Kontext das URL Rewriting verwendet wird. Moderne Browser können automatische Weiterleitungen allerdings blockieren. Auch spezielle Browserplugins können vor URL- sowie Content-Spoofing schützen.

ARP Spoofing[Bearbeiten]

ARP Spoofing ist eine Variante des IP-Spoofing, die sich auf das Netzwerkprotokoll ARP (Address Resolution Protocol) stützt. Die physische Adresse eines Netzwerkadapters wird verändert, um die Datenübertragung umzuleiten oder Daten zu verändern. In einem Netzwerk wird absichtlich eine nicht korrekte Netzwerkadresse verteilt, um sich in die Datenübertragung einzuklinken. ARP Spoofing nutzt die Tatsache aus, dass Netzwerkkarten fest zugewiesene MAC Adressen haben, mit denen sich einzelne Hardwareelemente ansteuern lassen. Die Zuordnung einer IP-Adresse zu einer MAC Adresse wird manipuliert und der Angreifer nimmt infolgedessen eine Man-in-the-Middle-Postion ein. Anschließend kann er die Datenübertragung verändern. ARP Angriffe sind allerdings nur in lokalen Netzwerken wie Ethernet oder WLAN möglich – der Angreifer muss sich im Netzwerk befinden.[5]

Bedeutung für die Programmierung[Bearbeiten]

Spoofing kann auf unterschiedlichen Ebenen der digitalen Kommunikation erfolgen und mit anderen Angriffen einhergehen.[6] Grundsätzlich können Angreifer eine Adresse fälschen oder simulieren, von der Daten verschickt werden sollen. Oder sie geben sich als legitime Empfänger von Datenpakten aus und empfangen Daten, die nicht für sie gedacht waren. Das bedeutet, dass Spoofing Angriffe sich auf den Client (Browser), den Server, das Netzwerk oder einzelne Anwendungen beziehen können. Beim Cross Site Scripting werden beispielsweise Informationen in einen vertrauenswürdigen Kontext übertragen, von dem aus dann ein Angriff stattfindet.

Solange zwischen Sender und Empfänger keine Authentifikation erfolgt und die versendeten Daten nicht verschlüsselt werden, bleibt Spoofing an verschiedenen Punkten der digitalen Kommunikation möglich. Nutzer und Diensteanbieter (zum Beispiel ISP und ESP) verfügen jedoch über verschiedene Schutzmaßnahmen, die unter dem Begriff Anti-Spoofing beschrieben werden. Möglich sind unter anderem:[7][8]

  • Firewalls, die eingehende Verbindungen blockieren.
  • Filter und Regeln für Router und Gateways, die den Datenverkehr reglementieren.
  • Kooperationen, die Infrastrukturen und Netzwerke als vertrauenswürdig auszeichnen.
  • Verschlüsselungsalgorithmen- und Methoden, die den Datenverkehr schützen. Zum Beispiel TLS, SSH und HTTPS.
  • Plug-ins, Addons und Anwendungen, die für spezielle Bedrohungslagen konzipiert wurden.
  • Eine konsequente Pflege der Blacklists und Whitelists von Spamfiltern und Antiviren-Anwendungen.

Einzelnachweise[Bearbeiten]

  1. Mehr als die Hälfte aller Top-Domains für E-Mail-Spoofing anfällig zdnet.de. Abgerufen am 19.08.2016
  2. IP-Spoofing elektronik-kompendium.de. Abgerufen am 19.08.2016
  3. E-Mail Spoofing searchsecurity.de. Abgerufen am 19.08.2016
  4. Content Spoofing searchsecurity.techtarget.com. Abgerufen am 19.08.2016
  5. Angetäuscht linux-community.de. Abgerufen am 19.08.2016
  6. Spoofing elektronik-kompendium.de. Abgerufen am 19.08.2016
  7. Spoofing Attack: IP, DNS & ARP | Veracode veracode.com. Abgerufen am 19.08.2016
  8. Email spoofing blog.malwarebytes.com. Abgerufen am 19.08.2016

Weblinks[Bearbeiten]