Spoofing


Als Spoofing (deutsch: Manipulation) wird bezeichnet, wenn in der digitalen Kommunikation sowie im Web eine andere Identität vorgetäuscht wird. Der sogennante "Spoofer" manipuliert die Kommunikation derart, dass dem Empfänger einer Nachricht oder eines Datenpaketes eine falsche Absenderadresse angezeigt wird. Spoofing wird in unterschiedlichen Bereichen angewendet, um beispielsweise Spammails mit einer gefälschten E-Mail-Adresse zu versenden, Computer und ganze Netzwerke zu infiltrieren oder über gefälschte Ressourcen an persönliche Nutzerdaten zu gelangen. Generell werden beim Spoofing Daten von einer unbekannten Quelle versendet, die für den Empfänger jedoch vertrauenswürdig erscheint. Durch Veränderung der Daten kann der Spoofer seine echte Identität verschleiern und dem Empfänger vortäuschen, dass ihm die Absenderadresse bekannt ist. Gegenmaßnahmen werden unter dem Begriff Anti-Spoofing zusammengefasst.

Eng verwandt mit Spoofing sind die Begriffe Fishing, Malware oder Pharming.

Allgemeine Informationen zum Thema

Spoofing hebelt verschiedene Mechanismen in der digitalen Kommunikation aus. Ihren Ursprung haben die Manipulationstechniken im IP-Spoofing: Ein Datenpaket, das an eine IP-Adresse versendet wird, erhält durch Manipulation der Kopfdaten eine vertrauenswürdige Absenderadresse eines Hosts oder einer Domain. Der Empfänger des Datenpaketes glaubt, den Absender oder seine Adresse zu kennen, nimmt das Datenpaket an und öffnet es. Ähnliches geschieht beim E-mail Spoofing, das neben dem IP-Spoofing die am häufigsten verbreitete Variante darstellt.[1]

Arten des Spoofing

Da die digitale Kommunikation zwischen Sendern und Empfänger stets nach bestimmten Protokollen erfolgt, können Authentifizierungs- und Verifikationsmethoden in der Netzwerkkommunikation mittels Spoofing und der damit einhergehenden Verschleierung der echten Identität “ausgetrickst” werden. Je nach Netzwerkprotokoll werden verschiedene Arten des Spoofings unterschieden. Letztendlich werden Daten, Nachrichten und E-Mails so manipuliert, dass sie innerhalb einer spezifischen Infrastruktur für den Angreifer zum Erfolg führen. Die Empfänger können sich jedoch mit einigen Maßnahmen vor solchen Angriffen schützen.

IP Spoofing

Das IP Spoofing gehört zu den klassischen Man-in-the-middle-Angriffen, die sich zwischen Sender und Empfänger drängen. Bei der Netzwerkkommunikation mit TCP/ IP werden Schwächen in der Architektur ausgenutzt, um die Authentifizierung zu umgehen. Da die Authentifizierung nur bei der ersten Verbindung zwischen Sender und Empfänger stattfindet, können Daten verändert werden, die später als manipulierte Datenpakete über die gleiche Verbindung versendet werden. Der Empfänger vertraut aufgrund der ersten Authentifizierung dem Sender und empfängt die Daten. Der Angreifer verändert jedoch die Quelladresse und täuscht dem Empfänger vor, dass die Daten von einer vertrauenswürdigen Quelle stammen. Jedes Datenpaket, das über TCP an eine IP-Adresse verschickt wird, ist mit einer Sequenznummer versehen. Der Angreifer manipuliert die Sequenznummer und hackt sich in den Kommunikationskanal, was auch als Session Hijacking bezeichnet wird. Jedoch ist dies in den meisten Fällen nur aufgrund weiterer Sicherheitslücken möglich, da mit IP-Spoofing keine herkömmlichen Internetverbindungen aufgebaut werden können. Entsprechend geht IP-Spoofing häufig mit anderen Hackertechniken und Angriffsmustern einher.[2]

E-Mail Spoofing

Das E-Mail Spoofing nutzt eine Schwachstelle beim Versand von Emails aus, die auf dem SMTP Protokoll basiert. SMTP verwendet in der Standardversion keine Authentifizierung und wird weltweit am häufigsten zum Versand von E-Mails eingesetzt. Ein Spoofer kann den Header einer E-Mail manipulieren, indem er die Syntax des verwendeten Protokolls ausnutzt und genau dort Änderungen vornimmt, wo das System Informationen zum Absender speichert. Dabei handelt es sich um die Kopfdaten einer E-Mail, wo auch der sogenannte SMTP Envelope zu finden ist, mit dem ein Handshake zwischen Sender und Empfänger durchgeführt wird. Mithilfe einiger SMTP-Befehle können die Kopfdaten manipuliert werden, woraufhin dem Empfänger eine  Absenderadresse als Fälschung angezeigt wird. Spoofer verfolgen mit dieser Strategie oft unterschiedliche Ziele:

  • Versand von Spam-Emails
  • Abgreifen von persönlichen Daten
  • Angriffsvorbereitung für weitere Angriffe auf ein Netzwerk oder eine Website


Mit RFC 2554 existiert eine Erweiterung für das SMTP-Protokoll, die eine Sicherheitsschicht mit dem Mailserver generiert und dadurch Schutz vor Email Spoofing bietet.[3] Für das Erkennen von Spoofing Mails sollte ebenfalls die Variante Brand Spoofing beachtet werden, da hier Angreifer bekannte Markennamen wie PayPal oder Amazon verwenden, um Pishing oder Pharming zu betreiben.

Content und URL Spoofing

Mit Content Spoofing werden Inhalte so verschleiert, dass ein Nutzer glaubt, diese Inhalte stammen nicht von einer externen Ressource, sondern von einer Website, die der Nutzer aufgerufen hat. Tatsächlich liegt der Ursprung für den angezeigten Content jedoch woanders, denn ein Spoofer hat die Parameter, die auf eine Website verweisen, manipuliert. Bei dynamisch generiertes Websites ist es prinzipiell möglich, die gesamte Website oder einzelne Elemente zu verändern, da der Ort bestimmter Inhalte durch Attribut-Wert-Paare in der jeweiligen URL angegeben wird. Ersetzt ein Angreifer diese Teile der URL, verweist er auf andere Inhalte, die aber unter der Ursprungs-URL angezeigt werden.

Die URL einer legitimen Ressource

http://beispiel/seite?frame_src=http://beispiel/datei.html

wird verändert, sodass diese Ressource ein Inhaltselement erhält, das zum Beispiel durch

frame_src=http://angreifer.beispiel/spoofing.html 

definiert ist.[4]

Der Nutzer sieht die Adresse der ursprünglichen Ressource in der Adressleiste des Browsers, aber der Content, der ihm angezeigt wird, stammt aus einer anderen Quelle, die der Angreifer festlegt. Durch die bekannte URL entsteht eine Verschleierung der Hacker-URL, die meist Malware enthält. Diese Attacken untergraben das Vertrauensverhältnis zwischen Websites, Online-Diensten und Nutzern, indem die HTTP-Kommunikation bei dynamischen Websites ausgenutzt wird. URL Spoofing funktioniert ähnlich, wobei in diesem Kontext das URL Rewriting verwendet wird. Moderne Browser können automatische Weiterleitungen allerdings blockieren und Hilfe gegen Spoofing bieten. Auch spezielle Browserplugins können vor URL- sowie Content-Spoofing schützen.


ARP Spoofing

ARP Spoofing ist eine Variante des IP-Spoofing, die sich auf das Netzwerkprotokoll ARP (Address Resolution Protocol) stützt. Die physische Adresse eines Netzwerkadapters wird verändert, um die Datenübertragung umzuleiten oder Daten zu verändern. In einem Netzwerk wird absichtlich eine nicht korrekte Netzwerkadresse verteilt, um sich in die Datenübertragung einzuklinken. ARP Spoofing nutzt die Tatsache aus, dass Netzwerkkarten fest zugewiesene MAC Adressen haben, mit denen sich einzelne Hardwareelemente ansteuern lassen. Die Zuordnung einer IP-Adresse zu einer MAC Adresse wird manipuliert und der Angreifer nimmt infolgedessen eine Man-in-the-Middle-Postion ein. Anschließend kann er die Datenübertragung verändern. ARP Angriffe sind allerdings nur in lokalen Netzwerken wie Ethernet oder WLAN möglich – der Angreifer muss sich im Netzwerk befinden.[5]

Bedeutung für die Programmierung

Spoofing kann auf unterschiedlichen Ebenen der digitalen Kommunikation erfolgen und mit anderen Angriffen einhergehen.[6] Grundsätzlich können Angreifer eine Adresse fälschen oder vortäuschen, von der Daten verschickt werden sollen. Oder sie geben sich als legitime Empfänger von Datenpakten aus und empfangen Daten, die nicht für sie gedacht waren. Das bedeutet, dass Spoofing Angriffe sich auf den Client wie zum Beispiel einen Webbrowser, den Server, eine Cloud, das Netzwerk oder einzelne Anwendungen beziehen können. Beim Cross Site Scripting werden beispielsweise Informationen in einen vertrauenswürdigen Kontext übertragen, von dem aus dann ein Angriff stattfindet.

Solange zwischen Sender und Empfänger keine Authentifikation erfolgt und die versendeten Daten nicht verschlüsselt werden, ist Spoofing an verschiedenen Punkten der digitalen Kommunikation so gut wie immer möglich. Nutzer und Diensteanbieter (zum Beispiel ISP und ESP) verfügen jedoch über verschiedene Maßnahmen zum Schutz vor Spoofing. Sie werden unter dem Begriff Anti-Spoofing zusammengefasst. Möglich sind unter anderem:[7][8]

  • Firewalls, die eingehende Verbindungen blockieren
  • Filter und Regeln für Router und Gateways, die den Datenverkehr reglementieren
  • Kooperationen, die Infrastrukturen und Netzwerke als vertrauenswürdig auszeichnen
  • Verschlüsselungsalgorithmen- und Methoden, die den Datenverkehr schützen. Zum Beispiel TLS, SSH und HTTPS
  • Plug-ins, Addons und Anwendungen, die für spezielle Bedrohungslagen konzipiert wurden.
  • Eine konsequente Pflege der Blacklists und Whitelists von Spamfiltern
  • kontinuierliche Aktivierung und Aktualisierung von Antivirus-Software


Bedeutung für Nutzer

Für Nutzer ist Spoofing ein wichtiges Thema, dies gilt vor allem für Brand-Spoofing. Immer wieder entpuppen sich vermeintlich von großen Unternehmen verschickte Zahlungsaufforderungen als Fälschungen.

Aus diesem Grund ist es für Nutzer über den Schutz durch entsprechende Software sowie deren Aktualisierung hinaus wichtig, sich regelmäßig über Malware, Phishing oder auch Spoofing zu informieren. Passende Antworten finden sich auf Newsseiten zu IT-Themen wie heise.de oder chip.de.


Einzelnachweise

  1. Mehr als die Hälfte aller Top-Domains für E-Mail-Spoofing anfällig zdnet.de. Abgerufen am 19.08.2016
  2. IP-Spoofing elektronik-kompendium.de. Abgerufen am 19.08.2016
  3. E-Mail Spoofing searchsecurity.de. Abgerufen am 19.08.2016
  4. Content Spoofing searchsecurity.techtarget.com. Abgerufen am 19.08.2016
  5. Angetäuscht linux-community.de. Abgerufen am 19.08.2016
  6. Spoofing elektronik-kompendium.de. Abgerufen am 19.08.2016
  7. Spoofing Attack: IP, DNS & ARP | Veracode veracode.com. Abgerufen am 19.08.2016
  8. Email spoofing blog.malwarebytes.com. Abgerufen am 19.08.2016

Weblinks