Rotkäppchen und der Wolf-in-the-Middle

19 Sep 2019

Wie erklären Sie Ihren Kindern die Konzepte der Informationssicherheit? Möglicherweise überhaupt nicht. Denn viele Eltern gehen tatsächlich den „einfachen“ Weg und verbieten ihren Kindern schlichtweg, spezifische Dinge online zu tun – oder sogar das Internet zu nutzen. Ein Verbot ohne Erklärung ist jedoch kontraproduktiv und spornt Kinder eher dazu an, sich von der verbotenen Frucht verführen zu lassen.

Oftmals neigen Eltern dazu Themen wie „Cyberbedrohungen“ und „Die Funktionsweise der Informationssicherheit“ zu umgehen, da sie die Konzepte selbst nicht genau kennen und infolgedessen schnell frustriert sind. Im Grunde genommen wurden aber all diese Konzepte bereits erklärt. Zahlreiche Lehrbücher über Cybersicherheit für Groß und Klein wurden tatsächlich bereits vor Hunderten von Jahren geschrieben. Und zwar in Form von Märchen! Ja, Sie haben richtig gehört! Sie müssen diese nur ein wenig neu interpretieren.

Rotkäppchen

Werfen wir beispielsweise einen Blick auf das altbekannte Märchen Rotkäppchen und der böse Wolf. Hierbei handelt es sich um ein bekanntes europäisches Volksmärchen, das von so bedeutenden Cybersicherheitsexperten wie den Gebrüdern Grimm, Charles Perrault und vielen anderen wiederholt nacherzählt wurde. Die verschiedenen Fassungen der Geschichte mögen sich geringfügig unterscheiden, aber die grundlegende Handlung ist ein und dieselbe:

  1. Rotkäppchens Mutter schickt ihre Tochter mit einem Korb voller Leckereien zu ihrer kranken Großmutter.
  2. Dabei trifft sie auf den Wolf und lässt sich auf ein Gespräch mit ihm ein.
  3. Rotkäppchen erzählt dem Wolf, dass Sie mit dem Korb voller Leckereien auf dem Weg zu ihrer Großmutter ist.

Angewandt auf das Thema Cybersicherheit können Sie an dieser Stelle ganz einfach das sogenannte Handshake-Verfahren erläutern – bei dem die Kommunikation zwischen zwei Parteien hergestellt wird – und dann gemeinsam einen Blick auf die damit verbundenen Bedrohungen werfen.

Inzwischen wurde Rotkäppchen so programmiert, dass es beim Klopfen an Großmutters Tür mit einer Passphrase, die Informationen über ihre Mutter und den Korb voller Leckereien enthält, antwortet. Das erlaubt der Großmutter mit ihrer Autorisierung fortzufahren und Rotkäppchen auf diese Weise Zugang zum Haus zu gewähren. Aus irgendeinem Grund erwidert Rotkäppchen die Phrase jedoch als Antwort auf eine willkürliche vom Wolf gestellte Anfrage, ohne die eigentliche Frage „Wer ist da?“ überhaupt gestellt bekommen zu haben. Eine ideale Exploit-Möglichkeit für den Angreifer.

  1. Abhängig von der Version der Firmware des Märchens schickt der Wolf Rotkäppchen dann entweder auf einen Umweg oder schlägt vor, Blumen für die Großmutter zu pflücken.

In beiden Fällen handelt es sich dabei jedoch um einen Denial-of-Service-Angriff (DoS). Wenn der Wolf nach der Ankunft von Rotkäppchen versucht, in das Haus der Großmutter zu gelangen, ist es eher unwahrscheinlich, dass er überhaupt hereingelassen wird, da sich der einzige erwartete Besucher bereits im Haus befindet. Deshalb ist es ihm wichtig, Rotkäppchen eine Weile außer Gefecht zu setzen, damit sie ihre Aufgabe nicht termingerecht erledigen kann.

  1. In jedem Fall ist der Wolf der Erste, der das Haus der Großmutter erreicht und korrekt auf die Frage „Wer ist da?“ antwortet. Die Großmutter gewährt ihm daraufhin Zutritt.

Hierbei handelt es sich um die lehrbuchnahe Version eines Man-in-the-Middle-Angriffs (MitM, obwohl in unserem Fall „Wolf-in-the-Middle passender wäre) unter Verwendung der Replay-Angriffsmethode. Der Wolf greift auf den Kommunikationskanal zwischen zwei Parteien zu, eignet sich das Handshake-Verfahren und die Passphrase des Clients an und gibt beide wieder, um illegal auf den Server zugreifen zu können.

  1. Der Wolf verschlingt die Großmutter, zieht Nachthaube und Nachthemd an und legt sich zugedeckt in ihr Bett.

Mit anderen Worten: Er richtet eine Phishing-Seite ein. Von der Tür aus sieht eigentlich alles aus wie immer – Großmutters Bett ist an Ort und Stelle und eine Gestalt, die ihr sehr ähnlich sieht, liegt darin.

  1. Nachdem Rotkäppchen sich dem Haus genähert hat, beantwortet sie die Frage „Wer ist da?“ mit der ihr richtig erscheinenden Passphrase über die Leckereien im Korb.

Dies ist eine Fortsetzung des MitM-Angriffs, nur dass der Wolf, der den zweiten Teil des Informationsaustauschprozesses bereits gelernt hat, das normale Verhalten des Servers der Großmutter nachahmt. Rotkäppchen schöpft keinen Verdacht und tritt ein.

  1. Sie betritt das Haus und wundert sich, warum ihre Großmutter plötzlich so große Ohren, Augen und Zähne hat. Drei durchaus berechtigte Fragen, aber schlussendlich, zufrieden mit den unartikulierten Erklärungen des Wolfes, betritt sie dennoch das Zimmer der Oma … und wird gefressen.

Wie im Märchen, sehen Phishing-Seiten in der Realität selten zu 100% überzeugend aus und enthalten oft zweifelhafte Elemente wie einen verdächtigen Hyperlink. Um Probleme zu vermeiden, lohnt es sich daher, Vorsicht walten zu lassen: Wenn beispielsweise Großmutters Domainname aus ihrer Nachthaube herausragt, sollten sie die Seite sofort verlassen.

Zwar sind Rotkäppchen einige Unstimmigkeiten aufgefallen, diese wurden aber gekonnt ignoriert. An dieser Stellte sollten Sie Ihrem Kind erklären, dass Rotkäppchens Verhalten nachlässig und alles andere als verantwortungsvoll ist, und darauf hinweisen, was es stattdessen hätte tun sollen.

  1. Glücklicherweise taucht eine Gruppe von Holzfällern (in einigen Fassungen sind es auch Jäger) auf, die den Bauch des Wolfes aufschneidet. Großmutter und Rotkäppchen springen daraufhin auf wundersame Weise gesund und munter aus dem Wolfsbauch.

Zugegebenermaßen sind die Parallelen zur Informationssicherheit in diesem Fall eher suboptimal. Schließlich können Sie einen Cyberkriminellen nicht einfach aufschneiden, um Ihre Finanzen oder Ihren Unternehmensruf wiederherzustellen.

Cybersicherheit in anderen Märchen

Märchen enthalten Lektionen fürs Leben und in so gut wie jedem Märchen gibt es auch eine Parallele zur Informationssicherheit. In „Die drei kleinen Schweinchen“ sehen wir beispielsweise einen Scriptkiddie, der ein Huff-and-Puff-Tool für Brute-Force-Angriffe verwendet. „Die Schneekönigin“  rüstet Kai mit Troll-Maware und übernimmt die Kontrolle über ihn, ähnlich wie ein Remote-Access-Tool (RAT) einem externen Kriminellen die Kontrolle über das System eines Insiders verleiht.

Das Märchen vom gestiefelten Kater hingegen ist nichts anderes als ein detaillierter Bericht über einen sehr raffinierten APT-Angriff, bei dem der Kater zuerst die Infrastruktur des Ogers hijackt und dann mithilfe einer komplexen Betrugsmasche einen betrügerischen Deal mit der Kommunalverwaltung abschließt.