Aschenputtel und die signaturbasierte Erkennung

Wir untersuchen das Märchen von Cinderella, alias Aschenputtel, im Hinblick auf grundlegende Prinzipien der Cybersicherheit.

In vergangenen Zeiten war die Menschheit selbstverständlich noch nicht mit Technologien vertraut, die erst in Jahrhunderten oder sogar Jahrtausenden auftauchen würden. Dennoch finden wir, bei genauer Suche, einige Cybersecurity-Lektionen in zahlreichen Märchen. Verkrustet in Metaphern, Mutmaßungen und literarischem Bling-Bling, kann die ursprüngliche Bedeutung vertrauter Märchen verzerrt werden oder ganz verloren gehen. Glücklicherweise konnte Aschenputtel diesem Schicksal entgehen.

Die früheste Version des Märchens wurde auf ägyptischem Papyrus verewigt; Aschenputtel ist nicht einfach eine weitere europäische Volksgeschichte. Kurz gesagt, geht es um eine junge Frau in Not, die mit Hilfe eines übernatürlichen Wesens ihr Glück findet. (In der Version von Charles Perrault ist dieses Wesen die gute Fee; bei den Brüdern Grimm ist es ein Baum, der auf dem Grab von Aschenputtels Mutter wächst. In der altägyptischen Darstellung übernimmt der Gott Horus die Rolle. Solche kleinen Diskrepanzen sollten allerdings nicht von der Kernbotschaft ablenken.)

Das gemeinsame Element – und der wichtigste Aspekt aus Sicht der Cybersicherheit – ist der zentrale Schuh/Glaspantoffel-Vorfall. Trotz der exotischen Würze des ägyptischen Originals werden wir uns auf die europäischen Versionen verlassen, da diese dem Leser am vertrautesten sind.

Scheinidentität

Fangen wir an. Unsere Heldin lebt in einem Haus mit ihrem Vater, ihrer Stiefmutter und ihren Stiefschwestern. Aschenbrödel wird mit niederen Arbeiten wie dem Aussortieren von Getreide beauftragt und versucht, die Plackerei zu automatisieren, indem sie die Hilfe von Tauben und anderen Vögeln in Anspruch nimmt. Schon in der frühesten Version des Märchens ist dies möglicherweise eine Anspielung darauf, dass nicht physische Gegenstände, sondern riesige Datenmengen sortiert werden.

Zur gleichen Zeit träumt Aschenputtel davon, auf einen Ball im Königspalast zu gehen, aber sie kann nicht – nicht wegen der Arbeit, sondern weil sie nicht hineingelassen wird. Sie bräuchte ein schönes Kleid und eine Kutsche, und ihre Familie weigert sich, ihr zu helfen. Die gute Fee kommt ihr zu Hilfe und verwandelt einen Kürbis in eine Kutsche, Mäuse in Pferde und Lumpen in ein Kleid.

Kurz gesagt, die gute Fee erstellt eine falsche Identität für Aschenputtel, damit sie inkognito zum Ball gehen kann. Denken Sie daran, dass es in früheren Zeiten das Wort „Hacker“ als solches nicht gab und die Menschen solche Zauberei Zauberern und Zauberinnen zuschrieben. Aber vergessen Sie die alten Zeiten – auch heute noch werden Hacker in der Popkultur als allmächtige Technoschamanen dargestellt!

Für den Zutritt zum Ball ist offensichtlich keine Einladung (d. h. keine anfängliche Authentifizierung) erforderlich, also muss sich Aschenputtel nur am Eingang registrieren. Das Problem ist, dass ihre ursprüngliche Identität nicht zu den Auswahlkriterien passt, während die Fälschung der guten Fee diese offensichtlich berücksichtigt.

Digitales Zertifikat

Die Details von Aschenputtels Identitätsveränderung werden bald klar, als die gute Fee sie warnt, dass ihr neues Bild um Mitternacht verschwinden wird. Wenn das passiert, wird jeder Lumpen sehen, kein Kleid, Ungeziefer anstelle von Pferden und Dienern, und so weiter. Was könnte die Grundlage für diesen Handlungsstrang sein? Nach den Realitäten des mittelalterlichen Europas zu urteilen, absolut nichts. Es scheint vielmehr eine Art künstliche Einschränkung zu sein. Aber erinnern wir uns daran, was genau um Mitternacht passiert: Das Datum ändert sich.

Jeder, der schon einmal vergessen hat, das SSL-Zertifikat einer Webseite zu erneuern, kann dieses Szenario sehr gut nachvollziehen. Vor buchstäblich einer Sekunde war das Zertifikat noch gültig und die Benutzer surften in aller Ruhe auf Ihrer Webseite. Plötzlich ist das Zertifikat abgelaufen, und die Browser zeigen Warnungen und Stubs anstelle Ihrer Inhalte an. Die Webseite verwandelte sich sozusagen schlagartig in einen Kürbis.

Zertifikate funktionieren in etwa so wie digitale Token – also Zugangsschlüssel. Sie sind für eine begrenzte Zeit gültig, was bedeutet, dass auch sie irgendwann aufhören zu funktionieren, woraufhin das System die Verbindung sofort beendet (vorausgesetzt, alles ist richtig eingerichtet). Plötzlich wird das arme Aschenputtel zum Hochstapler auf dem Ball. Warum die gute Fee nicht in der Lage ist, ein zuverlässigeres Zertifikat zu erstellen, ist nicht klar, aber höchstwahrscheinlich hat sie keinen direkten Zugang zu einer Zertifizierungsstelle.

Signaturbasierte Erkennung

Als Aschenputtel merkt, dass ihre Zeit abläuft, rennt sie aus dem Palast und verliert dabei einen Schuh oder Glaspantoffel, den einzigen Teil ihrer neuen Identität, der real ist. Die Version der Brüder Grimm ist hier besonders interessant. In ihrer Interpretation geht der Schuh nicht zufällig verloren, sondern weil der Prinz die Treppe mit Pech beschmiert hat, um ein Fragment des geheimnisvollen Mädchens zu erhalten und es damit zu verfolgen. Mit anderen Worten: Er hat eine Art Cyberdetektionssystem eingesetzt. Der Prinz verwendet dann den Schuh als Basis für ein Tool zur Erkennung von Objekten des Typs „Aschenputtel“ und startet eine globale Suche, bei der er die Füße aller jungen Mädchen im Land überprüft.

So funktionieren im Grunde viele Antiviren-Engines. Antivirenexperten nehmen einen Abschnitt des Malware-Codes, erstellen daraus einen „Schuh“ (Hash genannt) und gleichen ihn dann mit den eingehenden Daten ab. Wir verwenden diese Technologie, die als signaturbasierte Erkennung bezeichnet wird, in unseren Lösungen, obwohl sie schon seit geraumer Zeit nicht mehr unsere Hauptmethode zur Erkennung ist.

Hash-Spoofing-Versuch

Auf jeden Fall gehen die Gebrüder Grimm – die sich aus irgendeinem Grund in ihren frühen Märchen auf gruselige Weise auf Blut konzentrierten – mit dieser Lektion einen (schuhlosen) Schritt weiter. In ihrer Version des Märchens versuchen Aschenputtels Stiefschwestern, den Hash hereinzulegen, indem sie sich buchstäblich die Füße zurchtschneidet, damit sie in den Schuh passen. Aber einen Hash zu fälschen ist nicht einfach. Es überrascht nicht, dass der Hash der Schwestern nicht stimmt und die Signatur-Analyse-Engine des Prinzen ihn ablehnt.

Anhand dieses Märchens und unseres Beitrags können Sie Ihren Kindern also grundlegende Konzepte wie Identitätsfälschung, digitale Zertifikate und Signaturanalyse erklären. Wir empfehlen Ihnen, diese Gelegenheit zu nutzen – falls Sie die Bemühungen von so bedeutenden Cybersicherheitsexperten wie Charles Perrault und Jacob und Wilhelm Grimm am Leben erhalten wollen.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.