Eines der am häufigsten genutzten Netzwerkprotokolle ist »Secure Shell« (SSH). Es stellt einen verschlüsselten Kanal zwischen Client und Server her, über den man Dateien sicher übertragen oder Systeme aus der Ferne routinemäßig warten und konfigurieren kann. Ein zentrales Element des Protokolls sind sogenannte Public Keys, also öffentliche Schlüssel, über die die Server den Client authentifizieren – und hier liegt auch eine Schwachstelle. Beispielsweise erraten Angreifer schwache Passwörter und installieren eigene SSH-Schlüssel. So verschaffen sie sich dauerhaft Zugriff auf den Server. Und damit nicht genug: Legitime Nutzerinnen und Nutzer bekommen davon oftmals gar nichts mit, denn ihr Passwort bleibt trotz des Angriffs unverändert. Derart kompromittierte Server im gesamten Internet zu identifizieren, ist äußerst schwierig.

Hoffnung macht nun ein Ansatz, der das lange bekannte Internetprotokoll auf eine neue Weise nutzt. Ein Team des Max-Planck-Instituts (MPI) für Informatik und der Technischen Universität Delft konnte darüber angegriffene Server im großen Maßstab im Internet identifizieren. Dabei machte es sich eine Eigenart des SSH-Authentifizierungsprotokolls zunutze, die oft übersehen wird. Um sich zu authentifizieren, muss ein Client zuerst den öffentlichen Schlüssel eines Public-Private-Schlüsselpaars an den Server senden. Der Server prüft dann, ob dieser Schlüssel für die Autorisierung zur Verfügung steht. Das spart Rechenleistung, denn bloß wenn der übersandte Schlüssel auch wirklich zur Authentifikation vorgesehen ist, schickt der Server dem Client eine »Challenge-Response«, also eine Aufgabe, die der Client nur mithilfe seines öffentlichen Schlüssels lösen kann.

Die Forschenden nutzten diesen Mechanismus nun, um kompromittierte Systeme zu identifizieren. Insgesamt 52 solcher Public Keys, die von früheren Angriffen durch Gruppen wie wie »teamtnt«, »mozi« oder »fritzfrog« bekannt sind, haben sie an alle mit dem Internet verbundenen SSH-Server geschickt. Reagiert nun einer dieser Server mit einer Challenge auf einen der Schlüssel, dann ist klar: Angreifer haben einen eigenen Schlüssel auf dem System installiert – der Server wurde kompromittiert.

Insgesamt deckten die Scans mehr als 16 000 kompromittierte Server bei Hosting-Anbietern, in Unternehmen und in Forschungseinrichtungen auf, von denen viele mit bekannter Malware-Infrastruktur verknüpft waren. Nachdem betroffene Netzwerkbetreiber über den Befall informiert wurden, ging die Zahl der kompromittierten Hosts deutlich zurück, wie Folgeuntersuchungen zeigten.

Den Forschenden zufolge macht der neue Ansatz das Internet weltweit sicherer. Angreifer können die Erkennung nämlich nicht ohne Weiteres umgehen, indem sie für jedes kompromittierte System nun individuelle Schlüssel einsetzen. Das sei in der Masse, wie große ferngesteuerte Zusammenschlüsse von Geräten (Botnetze), es erfordern würden, operativ nicht machbar, sagt Anja Feldmann vom MPI. Damit werde die Strategie der Angreifer, sich langfristig Zugang zu Systemen zu verschaffen, in ein zuverlässiges Signal zur Verteidigung verwandelt.